Nothing Special   »   [go: up one dir, main page]

KR20210049603A - Method and apparatus for performing access control using role based certification - Google Patents

Method and apparatus for performing access control using role based certification Download PDF

Info

Publication number
KR20210049603A
KR20210049603A KR1020190134102A KR20190134102A KR20210049603A KR 20210049603 A KR20210049603 A KR 20210049603A KR 1020190134102 A KR1020190134102 A KR 1020190134102A KR 20190134102 A KR20190134102 A KR 20190134102A KR 20210049603 A KR20210049603 A KR 20210049603A
Authority
KR
South Korea
Prior art keywords
electronic device
sts
certificate
code
information
Prior art date
Application number
KR1020190134102A
Other languages
Korean (ko)
Inventor
금지은
올렉산드르 안드리예프
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020190134102A priority Critical patent/KR20210049603A/en
Priority to PCT/KR2020/014407 priority patent/WO2021080316A1/en
Priority to US17/770,481 priority patent/US12022009B2/en
Publication of KR20210049603A publication Critical patent/KR20210049603A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Lock And Its Accessories (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The present invention relates to a method for authenticating an electronic device and performing security ranging for access control which comprises the following steps of: receiving a device certificate including a first STS code encrypted by a public key of the electronic device and a second STS code encrypted by an STS key from a server; transmitting the device certificate to a target device; obtaining the first STS code by decrypting the encrypted first STS code using a private key of the electronic device; and performing secure ranging with the target device using the first STS code.

Description

권한 정보에 기초한 인증서를 사용하여 액세스 컨트롤하는 방법 및 장치{METHOD AND APPARATUS FOR PERFORMING ACCESS CONTROL USING ROLE BASED CERTIFICATION}Method and apparatus for controlling access using certificates based on rights information {METHOD AND APPARATUS FOR PERFORMING ACCESS CONTROL USING ROLE BASED CERTIFICATION}

본 개시는 전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치에 관한 것으로서, 보다 상세하게는 권한 정보에 기초한 인증서를 사용하여 전자 디바이스를 인증하고, 보안 레인징을 수행하는 방법 및 장치에 관한 것이다. The present disclosure relates to a method for authenticating an electronic device and an apparatus therefor, and more particularly, to a method and apparatus for authenticating an electronic device and performing security ranging by using a certificate based on authority information.

스마트 폰, 태블릿 PC와 같은 개인화된 전자 기기가 보급됨에 따라, 디지털화된 가상의 키, 즉, 디지털 키를 이용한 보안, 인증 등을 수행하기 위한 기술이 개발되고 있다. 이러한 디지털 키 기술의 한 방안으로, 무선 통신 기술을 사용하여 디지털 키를 전자 디바이스, 예를 들어, 스마트 폰에 통합되는 형태의 기술이 개발되고 있다.As personalized electronic devices such as smart phones and tablet PCs are popular, technologies for performing security and authentication using a digitized virtual key, that is, a digital key, are being developed. As a method of such digital key technology, a technology in which a digital key is integrated into an electronic device, for example, a smart phone using wireless communication technology, has been developed.

디지털 키가 전자 디바이스에 삽입됨으로써, 전자 디바이스의 사용자는 물리적 키를 대체하는 디지털 키를 이용하여 문을 열고 닫을 수 있다. 또한, 디지털 키의 기능이 보다 확장됨으로써, 전자 디바이스의 사용자는 디바이스로의 접근 및 디바이스의 제어를 위해 디지털 키를 이용할 수 있다.By inserting the digital key into the electronic device, the user of the electronic device can open and close the door using a digital key that replaces the physical key. In addition, as the function of the digital key is further expanded, a user of an electronic device can use the digital key for access to and control of the device.

디지털 키의 사용은 사용자 편의 및 산업적 효과에 있어 큰 개선을 가져올 수 있는 반면, 보안에 대한 우려 역시 제기되고 있다. 전자 디바이스와의 결합이 필요한 디지털 키의 특성 상, 전자 디바이스에 대한 해킹과 같은 위험에 노출될 수 있다. 따라서, 보안 수준이 높은 영역에서의 디지털 키의 처리가 필요하다.While the use of digital keys can bring great improvements in user convenience and industrial effectiveness, concerns about security have also been raised. Due to the nature of a digital key that needs to be combined with an electronic device, it may be exposed to risks such as hacking into an electronic device. Therefore, it is necessary to process the digital key in an area with high security level.

또한, 피지컬 액세스 컨트롤 시스템(Physical Access control system)분야에서는, 상술한 보안 수준을 유지하면서, 즉각적으로 디지털 키를 생성하여, 보안 레인징을 수행하는 방법이 필요한 실정이다.In addition, in the field of a physical access control system, there is a need for a method of performing security ranging by immediately generating a digital key while maintaining the above-described security level.

본 개시는 전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치를 제공하기 위한 것이다.The present disclosure is to provide a method for authenticating an electronic device and an apparatus accordingly.

본 개시의 일 실시예에 따른 전자 디바이스의 동작 방법은, 상기 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS(Scrambled Timestamp Sequence) 코드 및 타겟 디바이스의 키에 의해 암호화 된 제2 STS 코드를 포함하는 디바이스 인증서(Device certificate)를 서버로부터 수신하는 단계; 상기 디바이스 인증서를 상기 타겟 디바이스에게 전송하는 단계; 상기 전자 디바이스의 비공개 키를 이용하여, 상기 암호화된 제1 STS 코드를 복호화(decrypt)하여 제1 STS 코드를 획득하는 단계; 및 상기 제1 STS 코드를 이용하여 상기 타겟 디바이스와 보안 레인징을 수행하는 단계를 포함할 수 있다. A method of operating an electronic device according to an embodiment of the present disclosure includes a first STS (Scrambled Timestamp Sequence) code encrypted by a public key of the electronic device and a second STS code encrypted by a key of a target device. Receiving a device certificate from a server; Transmitting the device certificate to the target device; Decrypting the encrypted first STS code using the private key of the electronic device to obtain a first STS code; And performing security ranging with the target device by using the first STS code.

본 개시의 일 실시예에 따른 타겟 디바이스의 동작 방법은, STS 키에 의해 암호화 된 제2 STS(Scrambled Timestamp Sequence) 코드 및 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS 코드를 포함하는 디바이스 인증서를 상기 전자 디바이스로부터 수신하는 단계; 상기 STS 키를 이용하여, 상기 암호화된 제2 STS 코드를 복호화(decrypt)하여 제2 STS 코드를 획득하는 단계; 및 상기 제2 STS 코드를 이용하여 상기 전자 디바이스와 보안 레인징을 수행하는 단계를 포함할 수 있다.A method of operating a target device according to an embodiment of the present disclosure includes a device certificate including a second STS (Scrambled Timestamp Sequence) code encrypted by an STS key and a first STS code encrypted by a public key of the electronic device. Receiving from the electronic device; Decrypting the encrypted second STS code using the STS key to obtain a second STS code; And performing security ranging with the electronic device by using the second STS code.

본 개시의 일 실시예에 따른 서버의 동작 방법은, 타겟 디바이스에 대한 전자 디바이스의 권한 정보를 포함하는 인증서 서명 요청(CSR)을 상기 전자 디바이스로부터 수신하는 단계; 상기 인증서 서명 요청 및 상기 전자 디바이스의 권한과 관련된 정책 정보를 확인하는 단계; 확인 결과에 기초하여, 상기 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS 코드 및 STS 키에 의해 암호화 된 제2 STS 코드를 포함하는 디바이스 인증서를 생성하는 단계; 상기 디바이스 인증서를 상기 전자 디바이스에게 전송하는 단계를 포함할 수 있다.A method of operating a server according to an embodiment of the present disclosure includes: receiving a certificate signing request (CSR) including authorization information of an electronic device for a target device from the electronic device; Checking the certificate signing request and policy information related to the authority of the electronic device; Generating a device certificate including a first STS code encrypted by the public key of the electronic device and a second STS code encrypted by the STS key based on the verification result; And transmitting the device certificate to the electronic device.

본 개시의 일 실시예에 따른 전자 디바이스는, 서버 및 타겟 디바이스와 통신하는 통신부; 적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및 상기 적어도 하나의 인스트럭션을 실행함으로써 상기 전자 디바이스를 제어하는 적어도 하나 이상의 프로세서를 포함할 수 있다. 상기 적어도 하나 이상의 프로세서는, 상기 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS 코드 및 STS 키에 의해 암호화 된 제2 STS 코드를 포함하는 디바이스 인증서(Device certificate)를 서버로부터 수신하고, 상기 디바이스 인증서를 상기 타겟 디바이스에게 전송하고, 상기 전자 디바이스의 비공개 키를 이용하여, 상기 암호화된 제1 STS 코드를 복호화하여 제1 STS 코드를 획득하고, 상기 제1 STS 코드를 이용하여 상기 타겟 디바이스와 보안 레인징을 수행할 수 있다.An electronic device according to an embodiment of the present disclosure includes: a communication unit communicating with a server and a target device; A memory for storing at least one or more instructions; And at least one processor that controls the electronic device by executing the at least one instruction. The at least one processor receives a device certificate from a server including a first STS code encrypted by the public key of the electronic device and a second STS code encrypted by the STS key, and the device certificate Is transmitted to the target device, and the encrypted first STS code is decrypted using the private key of the electronic device to obtain a first STS code, and the target device and the security lane using the first STS code Gong can be practiced.

본 개시의 일 실시예에 따른 타겟 디바이스는, 전자 디바이스와 통신하는 통신부; 적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및 상기 적어도 하나 이상의 인스트럭션을 실행함으로써 상기 타겟 디바이스를 제어하는 적어도 하나 이상의 프로세서를 포함할 수 있다. 상기 적어도 하나 이상의 프로세서는, STS 키에 의해 암호화 된 제2 STS 코드 및 전자 디바이스의 공개 키에 의해 암호화된 제1 STS 코드를 포함하는 디바이스 인증서를 상기 전자 디바이스로부터 수신하고, 상기 STS 키를 이용하여, 상기 암호화된 제2 STS 코드를 복호화하여 제2 STS 코드를 획득하고, 상기 제2 STS 코드를 이용하여 상기 전자 디바이스와 보안 레인징을 수행할 수 있다. A target device according to an embodiment of the present disclosure includes: a communication unit communicating with an electronic device; A memory for storing at least one or more instructions; And at least one processor controlling the target device by executing the at least one instruction. The at least one processor receives from the electronic device a device certificate including a second STS code encrypted by an STS key and a first STS code encrypted by a public key of the electronic device, and uses the STS key. , The encrypted second STS code may be decrypted to obtain a second STS code, and security ranging with the electronic device may be performed using the second STS code.

도 1은 본 개시의 일 실시예에 따른 전자 디바이스를 인증하기 위한 시스템의 개요도이다.
도 2는 본 개시의 일 실시예에 따른 전자 디바이스를 인증하기 위한 장치 간 연결을 도시하는 개요도이다.
도 3은 본 개시의 일 실시예에 따른 전자 디바이스의 동작 방법을 나타내는 흐름도이다.
도 4는 본 개시의 일 실시예에 따른 권한 정보에 기반한 디바이스 인증서이다.
도 5는 본 개시의 일 실시예에 따른 타겟 디바이스의 동작 방법을 나타내는 흐름도이다.
도 6은 본 개시의 일 실시예에 따른 서버의 동작 방법을 나타내는 흐름도이다.
도 7은 본 개시의 일 실시예에 따른 장치들 간 데이터의 송수신 방법을 타나내는 도면이다.
도 8은 본 개시의 일 실시예에 따른 디바이스 인증서 생성 및 전송 과정에 따른 전자 디바이스와 서버 간 데이터의 송수신 방법에 대한 흐름도에 해당된다.
도 9는 본 개시의 일 실시예에 따른 접근 제어(Access control)를 수행하기 위해 전자 디바이스와 타겟 디바이스 간 데이터의 송수신 방법에 대한 흐름도이다.
도 10은 본 개시의 일 실시예에 따른 모바일 어플리케이션 사용시의 실시예를 나타낸 도면에 해당된다.
도 11은 본 개시의 일 실시예에 따른 키오스크(kiosk) 사용시의 실시예를 나타낸 도면에 해당된다.
도 12는 본 개시의 일 실시예에 따른 스키 리프트의 출입문에 대한 적용 예에 해당된다.
도 13은 본 개시의 일 실시예에 따른 타겟 디바이스의 내부 구성을 나타내는 블록도이다.
도 14은 본 개시의 일 실시예에 따른 전자 디바이스의 내부 구성을 나타내는 블록도이다.
도 15는 본 개시의 일 실시예에 따른 서버의 내부 구성을 나타내는 블록도이다.1 is a schematic diagram of a system for authenticating an electronic device according to an embodiment of the present disclosure.
2 is a schematic diagram illustrating a connection between devices for authenticating an electronic device according to an embodiment of the present disclosure.
3 is a flowchart illustrating a method of operating an electronic device according to an embodiment of the present disclosure.
4 is a device certificate based on authority information according to an embodiment of the present disclosure.
5 is a flowchart illustrating a method of operating a target device according to an embodiment of the present disclosure.
6 is a flowchart illustrating a method of operating a server according to an embodiment of the present disclosure.
7 is a diagram illustrating a method of transmitting and receiving data between devices according to an embodiment of the present disclosure.
8 is a flowchart illustrating a method of transmitting and receiving data between an electronic device and a server according to a process of generating and transmitting a device certificate according to an embodiment of the present disclosure.
9 is a flowchart illustrating a method of transmitting and receiving data between an electronic device and a target device in order to perform access control according to an embodiment of the present disclosure.
10 corresponds to a diagram showing an embodiment when using a mobile application according to an embodiment of the present disclosure.
FIG. 11 corresponds to a diagram showing an embodiment when using a kiosk according to an embodiment of the present disclosure.
12 corresponds to an example of application to an entrance door of a ski lift according to an embodiment of the present disclosure.
13 is a block diagram illustrating an internal configuration of a target device according to an embodiment of the present disclosure.
14 is a block diagram illustrating an internal configuration of an electronic device according to an embodiment of the present disclosure.
15 is a block diagram illustrating an internal configuration of a server according to an embodiment of the present disclosure.

아래에서는 첨부한 도면을 참조하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 개시의 실시예를 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 또한, 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. Hereinafter, embodiments of the present disclosure will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art may easily implement the present disclosure. However, the present disclosure may be implemented in various different forms and is not limited to the embodiments described herein. In addition, parts irrelevant to the description are omitted in the drawings in order to clearly describe the present disclosure, and similar reference numerals are attached to similar parts throughout the specification.

본 개시의 일부 실시예는 기능적인 블록 구성들 및 다양한 처리 단계들로 나타내어질 수 있다. 이러한 기능 블록들의 일부 또는 전부는, 특정 기능들을 실행하는 다양한 개수의 하드웨어 및/또는 소프트웨어 구성들로 구현될 수 있다. 예를 들어, 본 개시의 기능 블록들은 하나 이상의 마이크로 프로세서들에 의해 구현되거나, 소정의 기능을 위한 회로 구성들에 의해 구현될 수 있다. 또한, 예를 들어, 본 개시의 기능 블록들은 다양한 프로그래밍 또는 스크립팅 언어로 구현될 수 있다. 기능 블록들은 하나 이상의 프로세서들에서 실행되는 알고리즘으로 구현될 수 있다. 또한, 본 개시는 전자적인 환경 설정, 신호 처리, 및/또는 데이터 처리 등을 위하여 종래 기술을 채용할 수 있다.Some embodiments of the present disclosure may be represented by functional block configurations and various processing steps. Some or all of these functional blocks may be implemented with various numbers of hardware and/or software components that perform specific functions. For example, the functional blocks of the present disclosure may be implemented by one or more microprocessors, or may be implemented by circuit configurations for a predetermined function. In addition, for example, the functional blocks of the present disclosure may be implemented in various programming or scripting languages. Functional blocks may be implemented as an algorithm executed on one or more processors. In addition, the present disclosure may employ conventional techniques for electronic environment setting, signal processing, and/or data processing.

또한, 도면에 도시된 구성 요소들 간의 연결 선 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것일 뿐이다. 실제 장치에서는 대체 가능하거나 추가된 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들에 의해 구성 요소들 간의 연결이 나타내어질 수 있다.Further, the connecting lines or connecting members between the components shown in the drawings are merely illustrative of functional connections and/or physical or circuit connections. In an actual device, connections between components may be represented by various functional connections, physical connections, or circuit connections that can be replaced or added.

이하 첨부된 도면을 참고하여 본 개시를 상세히 설명하기로 한다.Hereinafter, the present disclosure will be described in detail with reference to the accompanying drawings.

명세서 전체에서, STS 키, 전자 디바이스의 공개 키 및 개인 키는 각 장치마다 부여된 각 장치의 고유의 키로서, 데이터를 암호화하거나 복호화하는 데 이용될 수 있다. Throughout the specification, the STS key, the public key of the electronic device, and the private key are unique keys of each device given to each device, and may be used to encrypt or decrypt data.

도 1은 본 개시의 일 실시예에 따른 전자 디바이스를 인증하기 위한 시스템의 개요도이다.1 is a schematic diagram of a system for authenticating an electronic device according to an embodiment of the present disclosure.

도 1을 참조하면, 전자 디바이스를 인증하기 위한 시스템은 타겟 디바이스(100), 전자 디바이스(200) 및 서버(300)를 포함할 수 있다.Referring to FIG. 1, a system for authenticating an electronic device may include a target device 100, an electronic device 200, and a server 300.

타겟 디바이스(100)는 자동차, 호텔, 집, 빌딩, 놀이공원, 스키장 등의 게이트에 구비될 수 있다. 보다 구체적으로, 타겟 디바이스(100)는 자동차에서 차량 도어, 트렁크 게이트, 주유구 뿐만 아니라, 시동 및 차량 제어를 위한 액세스 게이트와 같은 문(10)에 구비되어 문(10)의 개폐 여부를 제어할 수 있다. 또한, 이에 한정되지 않으며, 타겟 디바이스(100)는 스키장의 리프트 게이트에서 게이트와 같은 문(10)에 구비되어 문(10)의 개폐 여부를 제어할 수 있다. 예를 들어, 타겟 디바이스(100)는 문(10)의 개폐 여부를 제어하는 디지털 도어락 일 수 있다. 디지털 키를 이용하여 개폐 여부를 제어할 수 있는 타겟 디바이스(100)의 종류는 도 1에 도시된 예에 제한되는 것은 아니다.The target device 100 may be provided at a gate such as a car, a hotel, a house, a building, an amusement park, or a ski resort. More specifically, the target device 100 is provided in a door 10 such as a vehicle door, a trunk gate, and an access gate for starting and controlling the vehicle, as well as a vehicle door, a trunk gate, and a gas inlet, and can control whether the door 10 is opened or closed have. In addition, the present invention is not limited thereto, and the target device 100 may be provided on a door 10 such as a gate in a lift gate of a ski resort to control whether the door 10 is opened or closed. For example, the target device 100 may be a digital door lock that controls whether or not the door 10 is opened or closed. The type of the target device 100 that can control whether to open or close using a digital key is not limited to the example shown in FIG. 1.

타겟 디바이스(100)는 전자 디바이스(200)와 근거리 무선 통신을 수행할 수 있다. 구체적으로, 본 개시의 일 실시예에 따른 근거리 통신 기술에는 무선 랜(Wireless LAN), 와이파이(Wi-Fi), 블루투스, 지그비(zigbee), WFD(Wi-Fi Direct), UWB(ultra wideband), 적외선 통신(IrDA, infrared Data Association), BLE (Bluetooth Low Energy), NFC(Near Field Communication) 등이 있을 수 있으나, 이에 한정되는 것은 아니다. The target device 100 may perform short-range wireless communication with the electronic device 200. Specifically, short-range communication technology according to an embodiment of the present disclosure includes wireless LAN, Wi-Fi, Bluetooth, zigbee, Wi-Fi Direct (WFD), ultra wideband (UWB), Infrared communication (IrDA, infrared data association), BLE (Bluetooth Low Energy), NFC (Near Field Communication), etc. may be, but is not limited thereto.

본 개시의 일 실시예에 따른 전자 디바이스(200)는 다양한 형태로 구현될 수 있다. 예를 들어, 전자 디바이스(200)는, 스마트 TV, 셋탑 박스, 휴대폰, 태블릿 PC, 디지털 카메라, 노트북 컴퓨터(laptop computer), 데스크탑, 전자책 단말기, 디지털 방송용 단말기, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 네비게이션, MP3 플레이어, 착용형 기기(wearable device) 등을 포함할 수 있다. 다만 전자 디바이스(200)는 전술된 예에 한정되는 것은 아니고, 네트워크를 통해 서버(300)와 통신하고, 근거리 무선 통신을 통해 타겟 디바이스(100)와 통신할 수 있는 장치이면 어느 것이든 가능할 수 있다. 예를 들어, 전자 디바이스(200)는 전자 디바이스(200)를 인증(authenticate)하기 위한 데이터를 네트워크를 통해 서버(300)로 송수신할 수 있는 장치이면 어느 것이든 가능할 수 있다.The electronic device 200 according to the exemplary embodiment of the present disclosure may be implemented in various forms. For example, the electronic device 200 includes a smart TV, a set-top box, a mobile phone, a tablet PC, a digital camera, a laptop computer, a desktop, an e-book terminal, a digital broadcasting terminal, personal digital assistants (PDAs), and PMPs. (Portable Multimedia Player), navigation, MP3 player, wearable device, and the like. However, the electronic device 200 is not limited to the above-described example, and any device capable of communicating with the server 300 through a network and communicating with the target device 100 through short-range wireless communication may be used. . For example, the electronic device 200 may be any device capable of transmitting and receiving data for authenticating the electronic device 200 to the server 300 through a network.

본 개시의 일 실시예에 따른 네트워크의 통신 방식은 제한되지 않으며, 네트워크에 포함될 수 있는 통신망(일례로, 이동통신망, 유선 인터넷, 무선 인터넷, 방송망)을 활용한 통신 방식이 포함될 수 있다. 예를 들어, 네트워크는 PAN(personal area network), LAN(local area network), CAN(campus area network), MAN(metropolitan area network), WAN(wide area network), BBN(broadband network), 인터넷 등의 네트워크 중 하나 이상의 임의의 네트워크를 포함할 수 있다. 네트워크는 버스 네트워크, 스타 네트워크, 링 네트워크, 메쉬 네트워크, 스타-버스 네트워크, 트리 또는 계층적(hierarchical) 네트워크 등을 포함하는 네트워크 토폴로지 중 임의의 하나 이상을 포함할 수 있으나, 이에 제한되지 않는다. A communication method of a network according to an embodiment of the present disclosure is not limited, and a communication method using a communication network (for example, a mobile communication network, a wired Internet, a wireless Internet, a broadcasting network) that may be included in the network may be included. For example, the network is a personal area network (PAN), a local area network (LAN), a campus area network (CAN), a metropolitan area network (MAN), a wide area network (WAN), a broadband network (BBN), and the Internet. It may include any one or more of the networks. The network may include any one or more of network topologies including a bus network, a star network, a ring network, a mesh network, a star-bus network, a tree, or a hierarchical network, but is not limited thereto.

서버(300)는 네트워크를 통해 전자 디바이스(200)와 통신하며, 적어도 하나의 컴퓨터 장치로 구현될 수 있다. 서버(300)는 클라우드 형태로 분산될 수 있으며, 명령, 코드, 파일, 데이터 등을 제공할 수 있다. The server 300 communicates with the electronic device 200 through a network, and may be implemented as at least one computer device. The server 300 may be distributed in a cloud form, and may provide commands, codes, files, data, and the like.

도 2는 본 개시의 일 실시예에 따른 전자 디바이스를 인증하기 위한 장치 간 연결을 도시하는 개요도이다.2 is a schematic diagram illustrating a connection between devices for authenticating an electronic device according to an embodiment of the present disclosure.

도 2에 도시된 각각의 구성들은 구성들 간에 직접 연결이 있는 경우 실선, 구성들 간에 통신으로 연결된 경우 점선으로 표시된다. 예를 들어, 타겟 디바이스(100)는 문(10)에 직접 부착되거나 구비될 수 있다. 다만, 이에 한정되지 않고, 타겟 디바이스(100)는 문(10)과 통신으로 연결될 수도 있다. 또한, 타겟 디바이스(100)는 전자 디바이스(200)와 근거리 통신으로 연결될 수 있고, 전자 디바이스(200)는 서버(300)와 네트워크로 연결될 수 있다. 이 경우, 타겟 디바이스(100)는 근거리 통신만이 가능하므로, 서버(300)와 직접 통신을 수행할 수는 없다. Each of the components shown in FIG. 2 is indicated by a solid line when there is a direct connection between the components and a dotted line when the components are connected by communication. For example, the target device 100 may be directly attached or provided on the door 10. However, the present invention is not limited thereto, and the target device 100 may be connected to the door 10 through communication. Also, the target device 100 may be connected to the electronic device 200 through short-range communication, and the electronic device 200 may be connected to the server 300 through a network. In this case, since the target device 100 is capable of short-range communication only, it cannot perform direct communication with the server 300.

이하에서는, 도 3 내지 도 15를 참조하여 타겟 디바이스(100), 전자 디바이스(200), 및 서버(300)의 동작 방법에 대해 구체적으로 설명하도록 한다.Hereinafter, a method of operating the target device 100, the electronic device 200, and the server 300 will be described in detail with reference to FIGS. 3 to 15.

도 3은 본 개시의 일 실시예에 따른 전자 디바이스의 동작 방법을 나타내는 흐름도이다.3 is a flowchart illustrating a method of operating an electronic device according to an embodiment of the present disclosure.

S310 단계에서 전자 디바이스(200)는 디바이스 인증서(Device certificate)를 서버(300)로부터 수신할 수 있다.In operation S310, the electronic device 200 may receive a device certificate from the server 300.

먼저, 본 개시의 일 실시예에 따른 디바이스 인증서란, 권한 정보에 기반한 인증서에 해당될 수 있으며, 보다 상세하게는 도 4의 디바이스 인증서(400)에 해당될 수 있다. 도 4에 따를 때, 디바이스 인증서(400)는 암호화 된 제1 STS(Scrambled Timestamp Sequence) 코드(430) 및 암호화 된 제2 STS 코드(440)를 포함할 수 있다.First, the device certificate according to an embodiment of the present disclosure may correspond to a certificate based on authority information, and more specifically, may correspond to the device certificate 400 of FIG. 4. According to FIG. 4, the device certificate 400 may include an encrypted first STS (Scrambled Timestamp Sequence) code 430 and an encrypted second STS code 440.

이때 본 개시의 일 실시예에 따라, 제1 STS 코드와 제2 STS 코드는 동일한 STS 코드에 해당될 수 있다. 또한, 암호화된 제1 STS 코드와 암호화된 제2 STS 코드는 동일한 STS 코드에 대해 두 가지 서로 다른 키를 사용하여 암호화 된 STS 코드를 의미할 수 있다. 이때 본 개시의 일 실시에에 따라, 하나의 STS 코드는 STS 키를 사용하여 암호화될 수 있고, 다른 하나의 STS 코드는 디바이스의 키를 사용하여 암호화될 수 있다. In this case, according to an embodiment of the present disclosure, the first STS code and the second STS code may correspond to the same STS code. In addition, the encrypted first STS code and the encrypted second STS code may mean an STS code encrypted using two different keys for the same STS code. At this time, according to an embodiment of the present disclosure, one STS code may be encrypted using an STS key, and the other STS code may be encrypted using a device key.

보다 상세하게, 본 개시에서 제 1 STS 코드는 전자 디바이스(200)의 공개키(Public key)를 이용하여 암호화(Encrypt)되는 코드에 해당될 수 있다. 또한, 암호화된 제 1 STS 코드는 전자 디바이스(200)의 비공개키(Secret key)를 이용하여 복호화(decrypt)되는 코드를 의미할 수 있다. In more detail, in the present disclosure, the first STS code may correspond to a code that is encrypted using a public key of the electronic device 200. In addition, the encrypted first STS code may mean a code that is decrypted using a secret key of the electronic device 200.

또한, 본 개시에서 제 2 STS 코드는 STS 키(STS Key)를 사용하여 암호화(Encrypt)되는 코드에 해당될 수 있다. 또한, 암호화된 제 2 STS 코드는 STS 키(STS key)를 이용하여 복호화(decrypt)되는 코드를 의미할 수 있다. In addition, in the present disclosure, the second STS code may correspond to a code that is encrypted using an STS key. In addition, the encrypted second STS code may mean a code that is decrypted using an STS key.

이때, 본 개시에서 STS 키(STS Key)란 STS (Scrambled Timestamp Sequence) 코드를 암호화 및 복호화할 때 사용되는 키를 의미하며, 후술할 도 7에 따를 때, PKI root(700)로부터 발급 받는 키에 해당될 수 있다. STS 키에 대한 자세한 설명은 하기의 도 7에서 수행된다.At this time, in the present disclosure, the STS key refers to a key used when encrypting and decrypting STS (Scrambled Timestamp Sequence) codes, and according to FIG. 7 to be described later, the key issued from the PKI root 700 May be applicable. A detailed description of the STS key is performed in FIG. 7 below.

상술한 실시예에 따라, 디바이스 인증서(400)는 전자 디바이스(200)의 공개 키에 의해 암호화 된 제1 STS 코드(430) 및 STS 키에 의해 암호화 된 제2 STS 코드(440)를 포함할 수 있다.According to the above-described embodiment, the device certificate 400 may include the first STS code 430 encrypted by the public key of the electronic device 200 and the second STS code 440 encrypted by the STS key. have.

또한, 디바이스 인증서(400)는 디바이스 인증서(400)를 통해 인증되는 디바이스 권한과 관련된 권한 정보(410) 및 디바이스 인증서가 유효한 기간에 대한 기간 정보(420) 중 적어도 하나를 더 포함할 수 있다.In addition, the device certificate 400 may further include at least one of authorization information 410 related to device authorization authenticated through the device certificate 400 and period information 420 for a period in which the device certificate is valid.

이때, 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보란, 타겟 디바이스(100)에 대해 접근하거나, 타겟 디바이스(100)를 제어하기 위한 권한 정보에 해당될 수 있다. In this case, the authorization information related to the device authorization authenticated through the device certificate may correspond to authorization information for accessing the target device 100 or controlling the target device 100.

이때, 기간 정보란 생성된 해당 디바이스 인증서가 유효한 기간에 대한 정보에 해당될 수 있다.In this case, the period information may correspond to information on a period in which the generated corresponding device certificate is valid.

본 개시의 일 실시예에 따라, 디바이스 인증서(400)는 사용자의 결제 정보, 인증서 서명 요청(CSR)에 대한 정보 및 정책 정보 중 적어도 하나의 정보에 기초한 인증 과정을 통해 서버(300)에서 서명(450)될 수 있다. According to an embodiment of the present disclosure, the device certificate 400 is signed by the server 300 through an authentication process based on at least one of information about a user's payment information, a certificate signing request (CSR), and policy information. 450).

이때, 본 개시에서 정책 정보란, 전자 디바이스(200)의 권한과 관련된 정책 정보 등에 해당될 수 있다. 보다 상세하게, 정책 정보란, 전자 디바이스(200)의 권한과 관련된 정책에 대한 정보, 전자 디바이스(200)에게 제공될 서비스와 관련된 정책 정보, 전자 디바이스(200)의 권한에 따른 서비스 정보, 전자 디바이스(200)에 대해 서비스가 제공되는 기간 정보, 전자 디바이스(200)에 대해 서비스가 제공되는 기간 및 권한에 따른 금액 정보, 전자 디바이스(200)의 권한 정보에 기초한 타겟 디바이스(100)에 대한 접근 정책 정보(internal access policy) 등을 모두 포함하는 정보에 해당될 수 있다. In this case, the policy information in the present disclosure may correspond to policy information related to the authority of the electronic device 200, and the like. In more detail, the policy information is information on a policy related to the authority of the electronic device 200, policy information related to a service to be provided to the electronic device 200, service information according to the authority of the electronic device 200, and the electronic device. The access policy for the target device 100 based on information on the period in which the service is provided for 200, the period in which the service is provided for the electronic device 200 and amount information according to the authority, and the authority information of the electronic device 200 It may correspond to information including all information, such as an internal access policy.

본 개시의 일 실시예에 따라, 디바이스 인증서를 수신하는 단계는, 사용자 입력에 기초하여, 타겟 디바이스(100)에 대한 전자 디바이스(200)의 권한 정보를 포함하는 인증서 서명 요청(CSR, Certificate Signing Request)을 서버(300)에게 전송하는 단계 및 인증서 서명 요청에 응답하여, 서버(300)로부터 디바이스 인증서를 수신하는 단계를 포함할 수 있다. 보다 상세하게, 사용자는 접근 요청 정보를 입력할 수 있다. 한정되지 않은 실시예로, 접근 요청 정보는 권한 정보 및 기간 정보 중 적어도 하나 이상을 포함할 수 있다. According to an embodiment of the present disclosure, the receiving of the device certificate includes a certificate signing request (CSR, Certificate Signing Request) including authorization information of the electronic device 200 for the target device 100 based on a user input. ) To the server 300 and receiving a device certificate from the server 300 in response to the certificate signing request. In more detail, the user may input access request information. In a non-limiting embodiment, the access request information may include at least one or more of authority information and period information.

이때, 사용자가 입력하는 권한 정보는 결제 등을 통해 획득하고자 하는 서비스에 해당될 수 있다. 또한, 해당 권한 정보는 전자 디바이스(200)를 통해 얻을 수 있는 서비스에 해당될 수 있다. In this case, the authorization information input by the user may correspond to a service to be obtained through payment or the like. In addition, the authorization information may correspond to a service that can be obtained through the electronic device 200.

한정되지 않은 일 예로, 타겟 디바이스(100)가 체육관의 문(door)인 경우, 권한 정보는 체육관 서비스를 이용하는 사용자의 전자 디바이스(200)가 해당 문을 열 수 있는지 여부에 대한 정보에 해당될 수 있다. 즉, 사용자는 해당 서비스를 이용하기 위하여, '체육관 1달 이용권'을 입력할 수 있다. 전자 디바이스(200)는 타겟 디바이스(100)에 대해서 '체육관 1달 이용권'에 대한 인증서 서명 요청을 서버에게 전송할 수 있다. As a non-limiting example, when the target device 100 is a door of a gymnasium, the authorization information may correspond to information on whether the electronic device 200 of a user using the gym service can open the door. have. That is, the user may input a'one month gym pass' in order to use the service. The electronic device 200 may transmit a certificate signing request for the'one month gym use right' to the target device 100 to the server.

또한, 권한 정보는, 정책 정보에 따라 등급 별로 세분화될 수도 있으며, 각 권한 정보는 제공되는 서비스 따라 프리미어 등급, VIP 등급, 일반 등급 등으로 분류될 수도 있다. 일 예로, 사용자가 등급제로 운용되는 하나의 공간에 대한 서비스를 받고자 하는 경우, 사용자는 원하는 서비스에 대한 등급을 선택할 수 있다. 따라서, 사용자가 상술한 서비스에 대해 프리미엄 등급을 선택한 경우, 사용자는 권한 정보로 '프리미엄 등급'을 입력할 수 있으며, 선택한 권한 정보의 유지 기간을 선택하여 기간 정보를 입력할 수 있다. 본 개시에서, 디바이스 인증서(400)에 포함된 권한 정보(410) 및 기간 정보(420)는 상술한 사용자가 입력한 접근 요청 정보의 권한 정보 및 기간 정보에 기초하여 생성된 정보에 해당될 수 있다. 보다 상세하게, 디바이스 인증서(400)의 권한 정보(410) 및 기간 정보(420)는 서버(300)가 인증서 서명 요청(CSR) 정보, 전자 디바이스의 권한과 관련된 정책 정보, 사용자의 결제 정보 등에 기초하여 전자 디바이스(200)에 대해 인증한 경우 생성되는 정보에 해당될 수 있다. 또한, 권한 정보(410) 및 기간 정보(420)는 사용자가 입력한 접근 요청 정보의 권한 정보 및 기간 정보에 기초하여 생성하는 정보에 해당될 수 있다.In addition, the authority information may be subdivided by class according to the policy information, and each authority information may be categorized into a premier level, a VIP level, a general level, etc. according to a service provided. For example, when a user wants to receive a service for a single space operated by a rating system, the user may select a rating for a desired service. Accordingly, when the user selects a premium level for the above-described service, the user may input'premium level' as the authority information, and may select a maintenance period of the selected authority information and input period information. In the present disclosure, the authorization information 410 and the period information 420 included in the device certificate 400 may correspond to information generated based on the authorization information and period information of the access request information input by the user. . In more detail, the authorization information 410 and the period information 420 of the device certificate 400 are based on certificate signing request (CSR) information, policy information related to the authorization of the electronic device, payment information of the user, etc. Thus, it may correspond to information generated when the electronic device 200 is authenticated. In addition, the authorization information 410 and the period information 420 may correspond to information generated based on the authorization information and period information of the access request information input by the user.

본 개시의 일 실시예에 따라, 사용자는 모바일 디바이스에서 구동되는 어플리케이션 또는 키오스크 등에서 권한 정보 및 기간 정보 등을 입력할 수 있으며, 해당 실시예에 대해서는 보다 상세하게 도 8 및 도 10 내지 도 11에서 설명된다.According to an embodiment of the present disclosure, a user may input authority information and period information in an application or kiosk running on a mobile device, and the corresponding embodiment will be described in more detail with reference to FIGS. 8 and 10 to 11. do.

S320 단계에서, 전자 디바이스(200)는 디바이스 인증서(400)를 타겟 디바이스(100)에게 전송할 수 있다. 이때, 본 개시의 일 실시예에 따라, 디바이스 인증서(400)는 디바이스 인증서 체인(Device certificate chain)의 형태로 전송될 수 있다.In operation S320, the electronic device 200 may transmit the device certificate 400 to the target device 100. In this case, according to an embodiment of the present disclosure, the device certificate 400 may be transmitted in the form of a device certificate chain.

S330 단계에서, 전자 디바이스(200)는 전자 디바이스(200)의 비공개 키를 이용하여, 암호화된 제1 STS 코드를 복호화(decrypt)하여 제1 STS 코드를 획득할 수 있다.In operation S330, the electronic device 200 may obtain the first STS code by decrypting the encrypted first STS code using the private key of the electronic device 200.

S340 단계에서, 전자 디바이스(200)는 제1 STS 코드를 이용하여 타겟 디바이스(100)와 보안 레인징을 수행할 수 있다. 본 개시의 일 실시예에 따라, 전자 디바이스(200)는 타겟 디바이스(100)와 초광대역(UWB, Ultra-wideband)을 이용하여 보안 레인징을 수행할 수 있다. In step S340, the electronic device 200 may perform security ranging with the target device 100 using the first STS code. According to an embodiment of the present disclosure, the electronic device 200 may perform security ranging using the target device 100 and an ultra-wideband (UWB).

본 개시에서, 보안 레인징이란, 전자 디바이스(200)와 타겟 디바이스(100) 간의 거리를 판단하고, 전자 디바이스(200)에 대한 타겟 디바이스(100)의 인증을 수행하여, 타겟 디바이스(100)가 제어되는 과정을 의미할 수 있다. 도 5에서, 보안 레인징의 구체적인 동작을 후술한다.In the present disclosure, security ranging means determining the distance between the electronic device 200 and the target device 100, and performing authentication of the target device 100 with respect to the electronic device 200, so that the target device 100 It can mean a controlled process. In FIG. 5, a detailed operation of security ranging will be described later.

도 5는 본 개시의 일 실시예에 따른 타겟 디바이스의 동작 방법을 나타내는 흐름도이다.5 is a flowchart illustrating a method of operating a target device according to an embodiment of the present disclosure.

S510 단계에서, 타겟 디바이스(100)는 STS 키에 의해 암호화 된 제2 STS(Scrambled Timestamp Sequence) 코드(440) 및 전자 디바이스(200)의 공개 키에 의해 암호화 된 제1 STS 코드(430)를 포함하는 디바이스 인증서(400)를 전자 디바이스(200)로부터 수신할 수 있다.In step S510, the target device 100 includes a second STS (Scrambled Timestamp Sequence) code 440 encrypted by the STS key and a first STS code 430 encrypted by the public key of the electronic device 200 The device certificate 400 may be received from the electronic device 200.

본 개시의 일 실시예에 따라, 디바이스 인증서(400)는 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보(410) 및 디바이스 인증서가 유효한 기간에 대한 기간 정보(420) 중 적어도 하나를 더 포함할 수 있다. According to an embodiment of the present disclosure, the device certificate 400 may further include at least one of authorization information 410 related to device authorization authenticated through the device certificate and period information 420 for a period in which the device certificate is valid. I can.

본 개시의 일 실시예에 따라, 타겟 디바이스(100)가 디바이스 인증서(400)를 인증하고, 타겟 디바이스(100)는 디바이스 인증서(400)에 기초하여 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보(410) 및 기간 정보(420) 중 적어도 하나를 검출할 수 있다. 이때, 타겟 디바이스(100)는 검출된 기간 정보(420) 및 상기 검출된 권한 정보(410) 중 적어도 하나와 전자 디바이스의 권한과 관련된 정책 정보를 매칭할 수 있다. According to an embodiment of the present disclosure, the target device 100 authenticates the device certificate 400, and the target device 100 authenticates the device authority-related authority information based on the device certificate 400 At least one of 410 and period information 420 may be detected. In this case, the target device 100 may match at least one of the detected period information 420 and the detected authority information 410 with policy information related to the authority of the electronic device.

S520 단계에서, 타겟 디바이스(100)는 STS키를 이용하여, 암호화된 제2 STS 코드를 복호화(decrypt)하여 제2 STS 코드를 획득할 수 있다.In step S520, the target device 100 may obtain the second STS code by decrypting the encrypted second STS code using the STS key.

S530 단계에서, 타겟 디바이스(100)는 제2 STS 코드를 이용하여 전자 디바이스(200)와 보안 레인징을 수행할 수 있다. 이때, 한정되지 않은 실시예로, 타겟 디바이스(100)는 출입문을 제어하는 디바이스일 수 있다.In step S530, the target device 100 may perform security ranging with the electronic device 200 using the second STS code. In this case, as a non-limiting embodiment, the target device 100 may be a device that controls an entrance door.

본 개시의 일 실시예에 따라, 보안 레인징을 수행하는 단계는, UWB를 이용하여 거리를 결정하는 단계 및 결정된 거리에 기초하여 출입문의 개폐 여부를 결정하는 단계를 포함할 수 있다. 이때, 출입문의 개폐 여부를 결정하는 단계는, 결정된 거리가 기 설정된 거리 미만이고, 제1 STS 코드와 제2 STS 코드가 동일한 경우, 출입문을 개방(open)하는 것으로 결정하는 단계를 포함할 수 있다. According to an embodiment of the present disclosure, performing security ranging may include determining a distance using UWB and determining whether to open or close an entrance door based on the determined distance. In this case, determining whether to open or close the door may include determining to open the door when the determined distance is less than a preset distance and the first STS code and the second STS code are the same. .

보다 상세하게, 타겟 디바이스(100)는 UWB를 이용하여 전자 디바이스(200)와의 거리를 결정할 수 있다. 이때, 한정되지 않은 실시예로, UWB를 이용한 일반적인 레인징(Ranging) 기술에 기초하여 거리가 결정될 수 있다. 타겟 디바이스(100)는 결정된 전자 디바이스(200)와의 거리가 기 설정된 거리 미만인 경우, 제1 STS 코드와 제2 STS 코드의 합치 여부를 판단할 수 있다. 이때, 본 개시에서, STS 코드는 ED(Early Detection) 및 and LC(Late Commit) 공격을 방지하기 위해 사용될 수 있다. In more detail, the target device 100 may determine a distance to the electronic device 200 using UWB. In this case, as a non-limiting embodiment, the distance may be determined based on a general ranging technique using UWB. When the determined distance to the electronic device 200 is less than a preset distance, the target device 100 may determine whether the first STS code and the second STS code match. At this time, in the present disclosure, the STS code may be used to prevent ED (Early Detection) and LC (Late Commit) attacks.

도 6은 본 개시의 일 실시예에 따른 서버의 동작 방법을 나타내는 흐름도이다.6 is a flowchart illustrating a method of operating a server according to an embodiment of the present disclosure.

S610 단계에서, 서버(300)는 타겟 디바이스(100)에 대한 전자 디바이스(200)의 권한 정보를 포함하는 인증서 서명 요청(CSR)을 전자 디바이스(200)로부터 수신할 수 있다. 보다 상세하게, 해당 단계에서, 서버(300)는 인증서 서명 요청(CSR) 및 디바이스 공개 키(Public Key)를 전자 디바이스(200)로부터 수신할 수 있다.In step S610, the server 300 may receive a certificate signing request (CSR) including authorization information of the electronic device 200 for the target device 100 from the electronic device 200. In more detail, in this step, the server 300 may receive a certificate signing request (CSR) and a device public key from the electronic device 200.

S620 단계에서, 서버(300)는 인증서 서명 요청(CSR)에 대한 정보 및 전자 디바이스의 권한과 관련된 정책 정보를 확인할 수 있다. 보다 상세하게, 해당 단계에서 서버(300)는 인증서 서명 요청(CSR)에 대한 정보, 결제 정보 및 전자 디바이스의 권한과 관련된 정책 정보를 확인할 수 있다.In step S620, the server 300 may check information on the certificate signing request (CSR) and policy information related to the authority of the electronic device. In more detail, in this step, the server 300 may check information on a certificate signing request (CSR), payment information, and policy information related to authority of the electronic device.

S630 단계에서, 확인 결과에 기초하여, 서버(300)는 상기 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS 코드(430) 및 STS 키에 의해 암호화 된 제2 STS 코드(440)를 포함하는 디바이스 인증서(400)를 생성할 수 있다. In step S630, based on the confirmation result, the server 300 is a device including a first STS code 430 encrypted by the public key of the electronic device and a second STS code 440 encrypted by the STS key Certificate 400 can be generated.

이때, 본 개시의 일 실시예에 따라, 서버(300)는 확인 결과에 기초하여, 제 1 STS 코드 및 제 2 STS 코드를 생성할 수 있다. In this case, according to an embodiment of the present disclosure, the server 300 may generate a first STS code and a second STS code based on the confirmation result.

또한, 디바이스 인증서(400)는 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보(410) 및 디바이스 인증서가 유효한 기간에 대한 기간 정보(420)를 더 포함할 수 있다. In addition, the device certificate 400 may further include authorization information 410 related to device authorization authenticated through the device certificate and period information 420 for a period in which the device certificate is valid.

S640 단계에서, 서버(300)는 디바이스 인증서(400)를 전자 디바이스(200)에게 전송할 수 있다. 이때, 본 개시의 일 실시예에 따라, 디바이스 인증서는 디바이스 인증서에 대한 디바이스 인증서 체인(Device certificate chain)의 형태로 전송될 수 있다.In step S640, the server 300 may transmit the device certificate 400 to the electronic device 200. In this case, according to an embodiment of the present disclosure, the device certificate may be transmitted in the form of a device certificate chain for the device certificate.

서버(300)와 전자 디바이스(200) 간의 데이터 송수신 방법은 도 8에서 더 상세히 설명된다.A method of transmitting and receiving data between the server 300 and the electronic device 200 will be described in more detail with reference to FIG. 8.

도 7은 본 개시의 일 실시예에 따른 장치들 간 데이터의 송수신 방법을 타나내는 도면이다.7 is a diagram illustrating a method of transmitting and receiving data between devices according to an embodiment of the present disclosure.

보다 상세하게, 도 7은 본 개시의 일 실시예에 따른 시스템의 초기 설정 시의 장치들 간 데이터의 송수신 방법에 대한 흐름도에 해당된다. 즉, 도 7의 데이터의 송수신은 본 개시의 도 3 내지 도 6의 동작이 실시되기 전에 수행될 수 있다. 도 7에 따라, 타겟 디바이스(100), 전자 디바이스(200) 및 서버(300)에 대해 초기에 정보가 설정될 수 있다. In more detail, FIG. 7 corresponds to a flowchart of a method of transmitting and receiving data between devices during initial setup of a system according to an embodiment of the present disclosure. That is, the data transmission and reception of FIG. 7 may be performed before the operations of FIGS. 3 to 6 of the present disclosure are performed. According to FIG. 7, information may be initially set for the target device 100, the electronic device 200, and the server 300.

먼저, PKI root(700)란, 공개키 기반구조(PKI: Public Key Infrastructure)에서 인증 대상인 디바이스 및 서버로 인증기관들의 인증서를 발급하여 전송하는 인증 기관의 서버를 의미할 수 있다. 본 개시에서 인증 기관이란, 전자 서명 및 암호화를 위한 디지털 인증서를 발급 및 관리하는 서비스를 제공하는 기관 또는 기관의 서버를 의미할 수 있다. 이때, 본 개시의 일 실시예에 따라, PKI root(700)는 최상위 인증 기관(root CA, Root Certification Authority) 또는 하위 인증 기관(Sub Root CA)에 대응되는 인증 기관의 서버에 해당될 수 있다. 또한, PKI root(700)는 인증 대상인 디바이스로 STS(Scrambled Timestamp Sequence) 키를 발급하는 역할을 수행할 수 있다.First, the PKI root 700 may mean a server of a certification authority that issues and transmits certificates of certification authorities to devices and servers to be authenticated in a public key infrastructure (PKI). In the present disclosure, the certification authority may mean an agency or a server of an agency that provides a service for issuing and managing digital certificates for electronic signature and encryption. In this case, according to an embodiment of the present disclosure, the PKI root 700 may correspond to a server of a certification authority corresponding to a root certification authority (root CA) or a sub-root certification authority (Sub Root CA). In addition, the PKI root 700 may play a role of issuing a STS (Scrambled Timestamp Sequence) key to a device to be authenticated.

본 개시의 일 실시예에 따라, 타겟 디바이스(100)는 PKI root(700)로부터 최상위 인증 기관(Root CA, Root Certification Authority) 의 인증서를 발급받을 수 있다. 이때, 최상위 인증 기관의 인증서는 최상위 인증 기관의 공개 키(public key) 를 포함할 수 있다.According to an embodiment of the present disclosure, the target device 100 may receive a certificate of a root certification authority (Root CA) from the PKI root 700. In this case, the certificate of the highest certification authority may include the public key of the highest certification authority.

이때, 최상위 인증 기관(Root CA)의 인증서는 일반적으로 X.509 을 기반으로 한 공개 키 인프라(PKI)의 기반을 형성하는 자체 서명 된 최상위 인증서에 해당될 수 있다. 최상위 인증 기관(Root CA)의 인증서는 PKI 기반의 모든 엔티티(entity)에 의해 신뢰될 수 있다. In this case, the certificate of the top-level certification authority (Root CA) may correspond to a self-signed top-level certificate that forms the basis of a public key infrastructure (PKI) based on X.509 in general. The certificate of the root CA can be trusted by all PKI-based entities.

본 개시의 일 실시예에 따라, 타겟 디바이스(100)는 PKI root(700)로부터 STS (Scrambled Timestamp Sequence) 키(key)(710)를 발급받을 수 있다. According to an embodiment of the present disclosure, the target device 100 may receive a STS (Scrambled Timestamp Sequence) key 710 from the PKI root 700.

본 개시의 일 실시예에 따라, 전자 디바이스(200)는 PKI root(700)로부터 최상위 인증 기관(root CA, Root Certification Authority)의 인증서를 발급받을 수 있다. 이때, 최상위 인증 기관의 인증서는 최상위 인증 기관의 공개 키(public key)를 포함할 수 있다. According to an embodiment of the present disclosure, the electronic device 200 may receive a certificate of a root certification authority (root CA) from the PKI root 700. In this case, the certificate of the highest certification authority may include a public key of the highest certification authority.

본 개시의 일 실시예에 따라, 서버(300)는 PKI root(700)로부터 하위 인증 기관(Sub Root CA)의 인증서를 발급 받을 수 있다.According to an embodiment of the present disclosure, the server 300 may receive a certificate of a sub-root CA from the PKI root 700.

이때, 하위 인증 기관(Sub Root CA)의 인증서는 최상위 인증 기관(Root CA)의 인증서로 서명되지만 확장 키를 사용하면 다른 인증서(엔드 엔터티 또는 리프 인증서)에 서명할 수 있는 인증서를 의미할 수 있다. 이 하위 인증 기관(Sub Root CA)의 인증서는 개인 키 노출로 인한 오류로부터 PKI 기반의 시스템 체계를 보호하는 역할을 수행할 수 있다. 또한, 하위 인증 기관(sub Root CA)의 인증서는 최상위 인증 기관의 개인 키(private key)에 의해 서명된 인증서에 해당될 수 있다. At this time, the certificate of the sub-root CA is signed with the certificate of the top-level certification authority (Root CA), but if an extended key is used, it may mean a certificate that can sign other certificates (end entity or leaf certificate). . The certificate of this sub-certification authority (Sub Root CA) can play a role of protecting the PKI-based system system from errors caused by exposing the private key. In addition, a certificate of a sub-root CA may correspond to a certificate signed by a private key of a top-level certification authority.

본 개시의 일 실시예에 따라, 서버(300)는 타겟 디바이스(100)와 마찬가지로, PKI root(700)로부터 STS 키(720)를 발급받을 수 있다. According to an embodiment of the present disclosure, like the target device 100, the server 300 may receive the STS key 720 from the PKI root 700.

본 개시의 일 실시예에 따라, 모든 STS 키는 동일할 수 있고, 대칭성을 가질 수 있다. 즉, 본 개시의 STS 키(710)와 STS 키(720)는 동일하며 대칭성을 갖는 키에 해당될 수 있다. 또한, STS 키를 사용하여 STS 코드(STS code)를 암호화 및 복호화할 수 있으며, 이때, 대칭 알고리즘이 이용될 수 있다. 이때, 대칭 알고리즘에는 AES-256가 포함될 수 있으나, 이에 한정되지 않는다. According to an embodiment of the present disclosure, all STS keys may be the same and may have symmetry. That is, the STS key 710 and the STS key 720 of the present disclosure are the same and may correspond to keys having symmetric properties. In addition, the STS key may be used to encrypt and decrypt the STS code, and in this case, a symmetric algorithm may be used. In this case, the symmetric algorithm may include AES-256, but is not limited thereto.

즉, 본 개시의 일 실시예에 따라, 제 2 STS 코드는 STS 키(720)를 사용하여 암호화(Encrypt)되고, 암호화된 제 2 STS 코드는 STS 키(710)를 이용하여 복호화(decrypt)될 수 있으며, STS 키(710)와 STS 키(720)는 동일하며 대칭성을 갖는 키에 해당될 수 있다.That is, according to an embodiment of the present disclosure, the second STS code is encrypted using the STS key 720, and the encrypted second STS code is decrypted using the STS key 710. The STS key 710 and the STS key 720 are the same and may correspond to keys having symmetric properties.

도 8은 본 개시의 일 실시예에 따른 디바이스 인증서 생성 및 전송 과정에 따른 전자 디바이스와 서버 간 데이터의 송수신 방법에 대한 흐름도에 해당된다.8 is a flowchart illustrating a method of transmitting and receiving data between an electronic device and a server according to a process of generating and transmitting a device certificate according to an embodiment of the present disclosure.

보다 상세하게, 도 8은 서버(300)가 디바이스 인증서(400)를 생성하는 방법 및 전자 디바이스(200)가 디바이스 인증서(400)를 서버(300)로부터 수신하는 과정에 대한 도면에 해당될 수 있다. 따라서, 도 8은 상술한 도 3의 S310 단계 및 도 6의 흐름도를 더 상세하게 설명한 도면에 해당될 수 있다. In more detail, FIG. 8 may correspond to a diagram of a method in which the server 300 generates a device certificate 400 and a process in which the electronic device 200 receives the device certificate 400 from the server 300. . Accordingly, FIG. 8 may correspond to a diagram explaining in more detail the above-described step S310 of FIG. 3 and the flowchart of FIG. 6.

먼저, S810 단계에서, 전자 디바이스(200)는 사용자로부터 접근 요청 정보를 수신할 수 있다. 즉, 전자 디바이스(200)는 사용자로부터 권한 정보 및 기간 정보 중 적어도 하나를 포함하는 접근 요청 정보를 수신할 수 있다. 이때, 일 예로, 접근 요청 정보는 '체육관을 사용하는 서비스'에 대해 '체육관 문을 열기 위한 권한(Open gym door)'과 '해당 권한에 대해 '3개월(valid for 3 months) 기간'의 정보를 포함할 수 있다. First, in step S810, the electronic device 200 may receive access request information from a user. That is, the electronic device 200 may receive access request information including at least one of authorization information and period information from the user. At this time, as an example, the access request information is information of'the right to open the gym door' and'valid for 3 months' for the'service using the gym' It may include.

이때, 본 개시의 한정되지 않은 일 예로, 사용자는 모바일 디바이스에서 구동되는 어플리케이션 또는 키오스크 등을 이용하여 접근 요청 정보를 입력하고, 전자 디바이스(200)는 사용자가 입력한 접근 요청 정보를 수신할 수 있다. 상술한 실시예는 보다 상세하게 도 10 내지 도 11에서 설명된다.In this case, as a non-limiting example of the present disclosure, the user may input access request information using an application or kiosk running on a mobile device, and the electronic device 200 may receive the access request information input by the user. . The above-described embodiment is described in more detail in FIGS. 10 to 11.

S820 단계에서, 전자 디바이스(200)는 수신한 접근 요청 정보에 기초하여, 디바이스 비공개 키(Secret Key)(810) 및 디바이스 공개 키(Public Key)(820)를 생성할 수 있다. 본 개시의 다른 일 예로, 디바이스 비공개 키(810) 및 디바이스 공개 키(820)는 여러 인증서에서 재 사용될 수 있으며, 접근 요청 정보를 수신한 때마다 재 생성되지 않을 수 있다. In operation S820, the electronic device 200 may generate a device secret key 810 and a device public key 820 based on the received access request information. As another example of the present disclosure, the device private key 810 and the device public key 820 may be reused in various certificates, and may not be regenerated each time access request information is received.

S830 단계에서, 전자 디바이스(200)는 권한 정보에 기초하여, 인증서 서명 요청(CSR, Certificate Signing Request)을 생성할 수 있다. 보다 상세하게, 전자 디바이스(200)는 상기 수신한 접근 요청 정보에 포함된 권한 정보 및 기간 정보 중 적어도 하나에 기초하여 인증서 서명 요청(CSR)을 생성할 수 있다. 이때, 일 예로, 상술한 '체육관을 사용하는 서비스'에 대한 접근 요청 정보에 대해 인증서 서명 요청(CSR)은 3개월의 기간과 체육관 문을 열기 위한 권한을 포함하여 생성될 수 있다. In step S830, the electronic device 200 may generate a certificate signing request (CSR) based on the authorization information. In more detail, the electronic device 200 may generate a certificate signing request (CSR) based on at least one of authorization information and period information included in the received access request information. At this time, as an example, the certificate signing request (CSR) for the access request information for the above-described'service using the gym' may be generated including a period of 3 months and the right to open the gym door.

S840 단계에서, 전자 디바이스(200)는 인증서 서명 요청(CSR) 및 디바이스 공개 키(Public Key)(820)를 서버(300)로 전송할 수 있다. 해당 단계는 S610에 대응되는 단계에 해당될 수 있다. 또한, S850 단계에서, 서버(300)는 결제 정보를 수신할 수 있다. 이때, S840 단계와 S850 단계의 순서는 변경될 수 있으며, 본 개시의 다른 일 실시예에 따라, 서버(300)가 결제 정보를 수신하는 단계(S850) 후에 전자 디바이스(200)는 인증서 서명 요청(CSR) 및 디바이스 공개 키(820)를 서버(300)로 전송할 수도 있다.In step S840, the electronic device 200 may transmit a certificate signing request (CSR) and a device public key 820 to the server 300. This step may correspond to a step corresponding to S610. In addition, in step S850, the server 300 may receive payment information. In this case, the order of steps S840 and S850 may be changed, and according to another embodiment of the present disclosure, after the server 300 receives payment information (S850), the electronic device 200 requests a certificate signing ( CSR) and the device public key 820 may be transmitted to the server 300.

본 개시에서 결제 정보란, 사용자가 입력한 서비스에 대한 권한 정보와 권한을 유지하기 위한 기간 정보에 대응한 금액을 지불한 경우 생성되는 정보에 해당될 수 있다. 이때, 결제 금액은 본 개시의 일 실시예에 따라, 정책 정보에 기초하여 판단될 수 있다. In the present disclosure, the payment information may correspond to information generated when a user inputs authorization information for a service and an amount corresponding to period information for maintaining the authorization. In this case, the payment amount may be determined based on policy information according to an embodiment of the present disclosure.

S860 단계에서, 서버(300)는 인증서 서명 요청(CSR)에 대한 정보, 결제 정보 및 전자 디바이스의 권한과 관련된 정책 정보를 확인하여, 제 1 STS 코드 및 제 2 STS 코드를 생성할 수 있다. 해당 단계는 S620에 대응되는 단계에 해당될 수 있다.In step S860, the server 300 may generate a first STS code and a second STS code by checking information on a certificate signing request (CSR), payment information, and policy information related to the authority of the electronic device. This step may correspond to a step corresponding to S620.

그리고 S870 단계에서, 서버(300)는 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보(410), 디바이스 인증서가 유효한 기간에 대한 기간 정보(420), 암호화된 제 1 STS 코드(430) 및 암호화된 제 2 STS 코드(440) 중 적어도 하나 이상을 포함하여 디바이스 인증서(400)를 생성할 수 있다. 해당 단계는 도 6의 S630에 대응되는 단계일 수 있다.And in step S870, the server 300 is the authorization information 410 related to the device authorization authenticated through the device certificate, period information 420 about the period in which the device certificate is valid, the encrypted first STS code 430 and encryption The device certificate 400 may be generated by including at least one or more of the second STS codes 440. This step may be a step corresponding to S630 of FIG. 6.

이때, 본 개시의 일 실시예에 따라, 암호화 된 제1 STS 코드는 제 1 STS 코드를 전자 디바이스의 공개 키(820)로 암호화된 코드를 의미할 수 있다. 또한, 암호화 된 제2 STS 코드는 STS 키(720)에 의해 암호화된 코드를 의미할 수 있다.In this case, according to an embodiment of the present disclosure, the encrypted first STS code may mean a code encrypted with the first STS code with the public key 820 of the electronic device. In addition, the encrypted second STS code may mean a code encrypted by the STS key 720.

S880 단계에서, 서버(300)는 생성한 디바이스 인증서를 전송할 수 있다. 해당 단계는 도 6의 S640에 대응되는 단계일 수 있다. 본 개시의 일 실시예에 따라, 디바이스 인증서(400)는 디바이스 인증서에 대한 디바이스 인증서 체인(Device certificate chain)의 형태로 전송될 수 있다. 이때, 일 예로, 디바이스 인증서 체인은, 디바이스 공개 키(public key)는 서버(300)의 개인 키(private key)에 의해 서명되고, 서버(300)의 공개 키(publick key)는 타겟 디바이스(100)의 개인 키(private key)에 의해 서명되어 생성될 수 있다.In step S880, the server 300 may transmit the generated device certificate. This step may be a step corresponding to S640 of FIG. 6. According to an embodiment of the present disclosure, the device certificate 400 may be transmitted in the form of a device certificate chain for a device certificate. At this time, as an example, in the device certificate chain, the device public key is signed by the private key of the server 300, and the public key of the server 300 is the target device 100 ) Can be created by being signed by the private key.

그리고, S890 단계에서, 전자 디바이스(200)는 수신한 디바이스 인증서 체인에 대해 확인할 수 있다.Then, in step S890, the electronic device 200 may check the received device certificate chain.

도 9는 본 개시의 일 실시예에 따른 접근 제어(Access control)를 수행하기 위해 전자 디바이스와 타겟 디바이스 간 데이터의 송수신 방법에 대한 흐름도에 해당된다.9 is a flowchart illustrating a method of transmitting and receiving data between an electronic device and a target device in order to perform access control according to an embodiment of the present disclosure.

보다 상세하게 도 9는 도 3에서 전자 디바이스(200)의 S320 내지 S340 단계에 대응될 수 있으며, 또한, 도 9는 도 5에서 타겟 디바이스(100)의 S510 내지 S530 단계에 대응될 수 있다. In more detail, FIG. 9 may correspond to steps S320 to S340 of the electronic device 200 in FIG. 3, and FIG. 9 may correspond to steps S510 to S530 of the target device 100 in FIG. 5.

먼저, S910 단계에서, 타겟 디바이스(100)는 생성한 논스(nonce)를 전자 디바이스(200)로 송신할 수 있다. First, in step S910, the target device 100 may transmit the generated nonce to the electronic device 200.

그리고, S920 단계에서, 전자 디바이스(200)는 디바이스 인증서(400)를 타겟 디바이스(100)에게 전송할 수 있다. 보다 상세하게는, 전자 디바이스(200)는 디바이스 인증서 체인(Device certificate chain)을 송신하고, 디바이스 비공개 키(Secret Key)(810)로 서명한 논스를 송신할 수 있다. 이때, 본 개시의 일 실시예에 따라, 전자 디바이스(200)는 디바이스 인증서 체인 및 디바이스 비공개 키(810)로 서명한 논스를 블루투스를 이용하여 송신할 수 있으나, 이에 한정되지 않으며 모든 OOB(Out-Of-Band) channel가 데이터의 전송에 이용될 수 있다.Then, in step S920, the electronic device 200 may transmit the device certificate 400 to the target device 100. In more detail, the electronic device 200 may transmit a device certificate chain and transmit a nonce signed with a device secret key 810. In this case, according to an embodiment of the present disclosure, the electronic device 200 may transmit the device certificate chain and the nonce signed with the device private key 810 using Bluetooth, but is not limited thereto, and all OOB (Out- Of-Band) channel can be used for data transmission.

S930 단계에서, 타겟 디바이스(100)는 디바이스 인증서 체인을 인증할 수 있다. 그 후, S940 단계에서, 타겟 디바이스(100)는 권한 정보를 검출 및 매칭할 수 있다. 보다 상세하게, 타겟 디바이스(100)는 디바이스 인증서(400)로부터 디바이스 인증서(400)를 통해 인증되는 디바이스 권한과 관련된 권한 정보(410)를 획득할 수 있다. 또한, 타겟 디바이스(100)는 디바이스 인증서(400)로부터 기간 정보(420)를 검출할 수 있다. 그리고, 타겟 디바이스(100)는 획득된 권한 정보(410) 및 기간 정보(420) 중 적어도 하나를 고려하여, 타겟 디바이스(100)에 기 제공된 권한 정보에 기초한 접근 정책 정보에 매칭되는지 여부를 판단할 수 있다. In step S930, the target device 100 may authenticate the device certificate chain. Then, in step S940, the target device 100 may detect and match the authority information. In more detail, the target device 100 may obtain the authorization information 410 related to the device authorization authenticated through the device certificate 400 from the device certificate 400. Also, the target device 100 may detect the period information 420 from the device certificate 400. In addition, the target device 100 may determine whether to match access policy information based on the permission information previously provided to the target device 100 by considering at least one of the acquired permission information 410 and the period information 420. I can.

S950 단계에서, 전자 디바이스(200)는 암호화된 제 1 STS 코드를 디바이스의 비공개 키(810)를 이용하여 복호화할 수 있다. 또한, S960 단계에서, 타겟 디바이스(100)는 암호화된 제 2 STS 코드를 STS 키(710)를 이용하여 복호화할 수 있다. 이때, STS 키(710)는 타겟 디바이스(100)로 기 제공된 STS 키에 해당될 수 있다.In operation S950, the electronic device 200 may decrypt the encrypted first STS code using the private key 810 of the device. In addition, in step S960, the target device 100 may decrypt the encrypted second STS code using the STS key 710. In this case, the STS key 710 may correspond to an STS key previously provided to the target device 100.

S970 단계에서, 전자 디바이스(200)는 암호화된 제 1 STS 코드를 타겟 디바이스(100)로 송신할 수 있다.In operation S970, the electronic device 200 may transmit the encrypted first STS code to the target device 100.

이때, 본 개시에서 한정되지 않은 일 실시예로, 제 1 STS 코드는 롱텀키(LTK, Long term key)를 이용하여 암호화될 수 있다. 보다 상세하게, 본 개시에서, 전자 디바이스(200)는 디바이스의 키를 이용하여 STS 코드를 해독할 수 있다. 또한, 타겟 디바이스(100)는 STS 키를 사용하여 STS 코드를 해독할 수 있다. 그러나 종래의 시스템은 세션 키 기반 프로토콜을 사용하여 일반적인 STS 코드를 설정할 수 있었다. 따라서 서로 다른 키를 사용하여 인증서에서 STS 코드를 두 번 암호화하는 대신, 본 개시에 따르면 공유된 롱텀 키(long-term key)로 동일한 작업을 수행 할 수 있다. 이 공유된 롱텀 키를 사용하여, 전자 디바이스(200) 및 타겟 디바이스(100)는 동일한 세션 키(Session key)를 도출 한 다음 레거시 프로토콜(legacy protocol)에 따라 보안 레인징을 수행할 수 있다. 다만, 전자 디바이스(200)가 제1 STS 코드를 암호화하여 타겟 디바이스(100)로 보내는 방법은 공유된 롱텀 키(long-term key)를 이용하는 방법에 한정되지 않는다. 타겟 디바이스(100)가 제2 STS 코드와 제1 STS 코드를 매칭할 수 있도록, 전자 디바이스(200)가 제1 STS 코드를 타겟 디바이스(100)로 송신할 수 있는 방법들이 해당 단계에서 사용될 수 있다. In this case, as an embodiment not limited in the present disclosure, the first STS code may be encrypted using a long term key (LTK). More specifically, in the present disclosure, the electronic device 200 may decrypt the STS code using the key of the device. Also, the target device 100 may decrypt the STS code using the STS key. However, the conventional system was able to set up a general STS code using a session key-based protocol. Therefore, instead of encrypting the STS code twice in a certificate using different keys, the same operation can be performed with a shared long-term key according to the present disclosure. Using this shared long term key, the electronic device 200 and the target device 100 may derive the same session key and then perform security ranging according to a legacy protocol. However, the method of the electronic device 200 encrypting the first STS code and sending it to the target device 100 is not limited to a method of using a shared long-term key. Methods in which the electronic device 200 transmits the first STS code to the target device 100 may be used in this step so that the target device 100 can match the second STS code with the first STS code. .

S980 단계에서, 타겟 디바이스(100)는 전자 디바이스(200)에 대해 보안 레인징(secure ranging)을 수행할 수 있다. 보다 상세하게, 타겟 디바이스(100)는 타겟 디바이스(100)와 전자 디바이스(200) 간의 거리를 측정하고, 측정된 거리가 기 설정된 거리 미만인 경우, 제 1 STS 코드와 제 2 STS 코드 매칭 여부를 확인할 수 있다. In operation S980, the target device 100 may perform secure ranging on the electronic device 200. In more detail, the target device 100 measures the distance between the target device 100 and the electronic device 200, and if the measured distance is less than a preset distance, it checks whether the first STS code and the second STS code match. I can.

S990 단계에서, 타겟 디바이스(100)의 판단 결과에 따라, 도어의 개폐 여부가 결정될 수 있다. In step S990, whether to open or close the door may be determined according to the determination result of the target device 100.

도 10은 본 개시의 일 실시예에 따른 모바일 어플리케이션 사용시의 실시예를 나타낸 도면에 해당된다.10 corresponds to a diagram showing an embodiment when using a mobile application according to an embodiment of the present disclosure.

본 실시예에 따르면, 전자 디바이스(200)는 전자 디바이스(200)에서 실행되는 어플리케이션(Application)을 통해 서버(300)로부터 생성된 디바이스 인증서(400)를 수신할 수 있다. 이때, 전자 디바이스(200)는 모바일 디바이스 어플리케이션 및 결제 모듈 등을 포함할 수 있다. According to the present embodiment, the electronic device 200 may receive the device certificate 400 generated from the server 300 through an application executed in the electronic device 200. In this case, the electronic device 200 may include a mobile device application and a payment module.

또한, 서버(300)는 정책 엔진 및 암호화 엔진을 포함할 수 있다. 본 개시의 일 예에 따라, 서버(300)는 권한 부여 백엔드로 구현될 수 있다. In addition, the server 300 may include a policy engine and an encryption engine. According to an example of the present disclosure, the server 300 may be implemented as an authorization backend.

먼저, S1010 단계에서, 전자 디바이스(200)는 전자 디바이스(200)에서 구동되는 모바일 디바이스 어플리케이션을 통해 승인 과정을 수행할 수 있다. 본 개시의 일 실시예에 따라, 전자 디바이스(200)는 모바일 디바이스 어플리케이션을 통해 사용자로부터 로그인(Log-in) 정보를 입력 받아 승인 과정을 수행할 수 있다. First, in step S1010, the electronic device 200 may perform an approval process through a mobile device application driven by the electronic device 200. According to an embodiment of the present disclosure, the electronic device 200 may perform an approval process by receiving login information from a user through a mobile device application.

또한, S1020 단계에서, 사용자는 모바일 디바이스 어플리케이션을 통해 접근 요청 정보를 입력할 수 있다. 이때, 접근 요청 정보는 사용자가 입력하는 데이터에 해당되며, 권한 정보 및 기간 정보 등을 포함할 수 있다. 또한, 도 10과 같이, 권한 정보는 본 개시의 일 예시에 따라, 멤버십 정보 등에 해당될 수 있으며, 해당 서비스에 대한 VIP, 일반 등과 같은 멤버십에 따른 권한 정보가 입력될 수 있다. 또한 모바일 디바이스 어플리케이션이 제공하는 서비스는 한정되지 않은 예로써, 체육관(fitness), 스키 리조트(ski resort) 등에서 제공되는 서비스를 포함할 수 있다. In addition, in step S1020, the user may input access request information through a mobile device application. In this case, the access request information corresponds to data input by the user, and may include authority information and period information. In addition, as shown in FIG. 10, the authority information may correspond to membership information or the like according to an example of the present disclosure, and authority information according to membership such as VIP or general for the service may be input. In addition, the services provided by the mobile device application are not limited, and may include services provided at a gym, a ski resort, and the like.

그리고 S1030 단계에서 모바일 디바이스 어플리케이션은 인증서 서명 요청(CSR), 전자 디바이스(200)의 공개키, 권한 정보 및 기간 정보가 포함된 접근 요청 정보를 결제 모듈 및 정책 엔진으로 전송할 수 있다. In step S1030, the mobile device application may transmit a certificate signing request (CSR), a public key of the electronic device 200, access request information including authority information, and period information to the payment module and the policy engine.

S1040 단계에서 결제 모듈은 수신한 접근 요청 정보에 기초하여, 결제 정보를 생성할 수 있다. 보다 상세하게, 결제 모듈은 사용자로부터 입력 받은 권한 정보 및 기간 정보에 기초하여, 해당 권한 정보 및 기간 정보에 대응하는 금액 정보를 생성할 수 있다. 사용자는 전자 디바이스에 구현된 결제 모듈을 이용하여, 상기의 금액을 결제하고, 결제 모듈은 결제 정보를 생성하여 정책 엔진으로 결제 정보를 전송할 수 있다.In step S1040, the payment module may generate payment information based on the received access request information. In more detail, the payment module may generate amount information corresponding to the authorization information and period information based on the authorization information and period information input from the user. The user pays the amount by using the payment module implemented in the electronic device, and the payment module generates payment information and transmits the payment information to the policy engine.

S1050 단계에서 정책 엔진은 수신한 결제 정보와 인증서 서명 요청(CSR)에 대한 정보와 정책 엔진에 저장된 정책 정보를 확인할 수 있다. 또한, 정책 엔진은 확인이 된 경우, 검증된 사용자의 데이터를 암호화 엔진으로 전송할 수 있다.In step S1050, the policy engine may check received payment information, information on a certificate signing request (CSR), and policy information stored in the policy engine. In addition, the policy engine may transmit the verified user's data to the encryption engine when it is confirmed.

본 개시의 일 실시예에 따라, 기간, 멤버십 레벨과 같은 사용자의 접근 요청 정보는 모바일 디바이스 또는 사용자 인터페이스로부터 얻을 수 있다. 이때, 사용자의 접근 요청 정보가 모바일 디바이스로부터 얻어진 경우, 서버(300)의 정책 엔진은 사용자의 접근 요청 정보를 확인할 수 있다.According to an embodiment of the present disclosure, user access request information such as a period and a membership level may be obtained from a mobile device or a user interface. In this case, when the user's access request information is obtained from the mobile device, the policy engine of the server 300 may check the user's access request information.

암호화 엔진은 정책 엔진으로부터 검증된 사용자의 데이터를 수신할 수 있다. 즉, 이때 암호화 엔진은 수신한 결제 정보와 인증서 서명 요청(CSR)에 대한 정보와 정책 엔진에 저장된 정책 정보를 확인하여, 제 1 STS 코드 및 제 2STS 코드를 생성할 수 있다. 또한, 암호화 엔진은 생성된 제 1 STS 코드 및 제 2 STS 코드를 암호화할 수 있다. 또한, 암호화 엔진은 권한 정보(410), 기간 정보(420), 암호화된 제 1 STS 코드(430) 및 암호화된 제 2STS 코드(440)를 포함한 디바이스 인증서(400)를 생성할 수 있다. 또한, 생성된 디바이스 인증서(400)는 권한 부여 백엔드에 의해 서명될 수 있다. The encryption engine may receive verified user data from the policy engine. That is, at this time, the encryption engine may generate a first STS code and a second STS code by verifying the received payment information, information on a certificate signing request (CSR) and policy information stored in the policy engine. In addition, the encryption engine may encrypt the generated first STS code and the second STS code. In addition, the encryption engine may generate the device certificate 400 including the authorization information 410, the period information 420, the encrypted first STS code 430, and the encrypted second STS code 440. Also, the generated device certificate 400 may be signed by the authorization backend.

S1060 단계에서 서명된 디바이스 인증서(400)는 전자 디바이스로 전송될 수 있다. 이때, 본 개시의 일 예시에 따라, 서명된 디바이스 인증서(400)는 모바일 디바이스 어플리케이션에서 수신될 수 있다. The device certificate 400 signed in step S1060 may be transmitted to the electronic device. In this case, according to an example of the present disclosure, the signed device certificate 400 may be received in a mobile device application.

도 11은 본 개시의 일 실시예에 따른 키오스크(kiosk) 사용시의 실시예를 나타낸 도면에 해당된다.FIG. 11 corresponds to a diagram showing an embodiment when using a kiosk according to an embodiment of the present disclosure.

먼저, S1110 단계에서 사용자는 키오스트를 이용하여 접근 요청 정보를 입력할 수 있다. 또한, 상술한 바와 같이, 접근 요청 정보는 권한 정보 및 기간 정보 등을 포함할 수 있으며, 권한 정보는 해당 서비스를 제공하는 정책 상의 멤버십 정보 등에 해당될 수 있다. First, in step S1110, the user may input access request information using a keyos. In addition, as described above, the access request information may include authority information and period information, and the authority information may correspond to membership information in a policy providing a corresponding service, and the like.

S1120 단계에서 결제 모듈은 수신한 접근 요청 정보에 기초하여, 결제 정보를 생성할 수 있다. 보다 상세하게, 결제 모듈은 사용자로부터 입력 받은 권한 정보 및 기간 정보에 기초하여, 해당 권한 정보 및 기간 정보에 대응하는 금액 정보를 생성할 수 있다. 사용자는 키오스크에 구현된 결제 모듈을 이용하여, 상기의 금액을 결제하고, 결제 모듈은 결제 정보를 생성하여 정책 엔진으로 결제 정보를 전송할 수 있다.In step S1120, the payment module may generate payment information based on the received access request information. In more detail, the payment module may generate amount information corresponding to the authorization information and period information based on the authorization information and period information input from the user. The user pays the amount by using the payment module implemented in the kiosk, and the payment module generates payment information and transmits the payment information to the policy engine.

또한, S1130 단계에서 전자 디바이스(200)는 키오스크를 통해 전자 디바이스(200)의 인증서 서명 요청(CSR, Certificate Signing Request) 및 전자 디바이스의 공개 키를 상기 서버에게 전송할 수 있다. 보다 상세하게, 전자 디바이스(200)는 키오스크 간의 통신을 통해, 인증서 서명 요청(CSR) 및 전자 디바이스의 공개키를 정책 엔진으로 전송할 수 있다. 이때, 전자 디바이스(200)와 키오스크 간의 통신은 보안 레인징을 위해 이용되는 통신 방식과 상이한 방식이 사용될 수 있다. 이때, 한정되지 않은 일 실시예에 따라, NFC, BLE, WiFi, LTE 등이 사용될 수 있다. 또한, 전자 디바이스(200)가 키오스크에 탭핑(Tapping)되어 인증서 서명 요청(CSR) 및 공개키가 전송될 수 있다. In addition, in step S1130, the electronic device 200 may transmit a certificate signing request (CSR) of the electronic device 200 and a public key of the electronic device to the server through a kiosk. In more detail, the electronic device 200 may transmit a certificate signing request (CSR) and a public key of the electronic device to the policy engine through communication between kiosks. In this case, communication between the electronic device 200 and the kiosk may be performed in a manner different from a communication method used for security ranging. At this time, according to an exemplary embodiment, which is not limited, NFC, BLE, WiFi, LTE, and the like may be used. In addition, the electronic device 200 may be tapped on the kiosk to transmit a certificate signing request (CSR) and a public key.

S1140 단계에서 키오스크에 구현된 정책 엔진은 수신한 결제 정보와 인증서 서명 요청(CSR)에 대한 정보와 정책 엔진에 저장된 정책 정보를 확인할 수 있다. 또한, 정책 엔진은 확인이 된 경우, 검증된 사용자의 데이터를 암호화 엔진으로 전송할 수 있다.Implemented in the kiosk in step S1140 The policy engine may check received payment information, information on a certificate signing request (CSR), and policy information stored in the policy engine. In addition, the policy engine may transmit the verified user's data to the encryption engine when it is confirmed.

암호화 엔진은 정책 엔진으로부터 검증된 사용자의 데이터를 수신할 수 있다. 즉, 이때 암호화 엔진은 수신한 결제 정보와 인증서 서명 요청(CSR)에 대한 정보와 정책 엔진에 저장된 정책 정보를 확인하여, 제 1 STS 코드 및 제 2STS 코드를 생성할 수 있다. 또한, 암호화 엔진은 생성된 제 1 STS 코드 및 제 2 STS 코드를 암호화할 수 있다. 또한, 암호화 엔진은 권한 정보(410), 기간 정보(420), 암호화된 제 1 STS 코드(430) 및 암호화된 제 2STS 코드(440)를 포함한 디바이스 인증서(400)를 생성할 수 있다. 또한, 생성된 디바이스 인증서(400)는 권한 부여 백엔드에 의해 서명될 수 있다. The encryption engine may receive verified user data from the policy engine. That is, at this time, the encryption engine may generate a first STS code and a second STS code by verifying the received payment information, information on a certificate signing request (CSR) and policy information stored in the policy engine. In addition, the encryption engine may encrypt the generated first STS code and the second STS code. In addition, the encryption engine may generate the device certificate 400 including the authorization information 410, the period information 420, the encrypted first STS code 430, and the encrypted second STS code 440. Also, the generated device certificate 400 may be signed by the authorization backend.

S1150 단계에서 서명된 디바이스 인증서(400)는 전자 디바이스로 전송될 수 있다. 이때, 본 개시의 일 예시에 따라, 서명된 디바이스 인증서(400)는 키오스크를 통해 서버(300)로부터 수신될 수 있다. The device certificate 400 signed in step S1150 may be transmitted to the electronic device. In this case, according to an example of the present disclosure, the signed device certificate 400 may be received from the server 300 through a kiosk.

도 12는 본 개시의 일 실시예에 따른 스키 리프트의 출입문에 대한 적용 예에 해당된다. 12 corresponds to an example of application to an entrance door of a ski lift according to an embodiment of the present disclosure.

먼저, 본 실시예에 따라, 전자 디바이스(200)는 사용자의 모바일에 해당될 수 있다. 또한, 타겟 디바이스(100)는 스키 리프트의 출입문을 제어하는 디바이스에 해당될 수 있다. 설명의 편의를 위해, 전자 디바이스(200)를 모바일 디바이스, 타겟 디바이스(100)를 스키 리프트의 출입문으로 설명하도록 한다.First, according to the present embodiment, the electronic device 200 may correspond to the user's mobile. In addition, the target device 100 may correspond to a device that controls an entrance door of a ski lift. For convenience of explanation, the electronic device 200 will be described as a mobile device and the target device 100 will be described as an entrance door of a ski lift.

사용자는 결제 카운터(payment counter)(미도시)에서 '스키 리프트 서비스'에 해당되는 '스키 리프트 이용권'(권한 정보) 및 기간 정보를 입력하고, 해당 서비스에 대해 결제할 수 있다. 이때, 본 개시의 한정되지 않은 일 예로, 결제 카운터는 키오스크로 구현될 수 있다. 결제 카운터는 '스키 리프트 이용권'(권한 정보) 및 기간 정보에 기초하여 QR 코드(QR code)를 생성하고, QR 코드를 사용자에게 제시할 수 있다. 모바일은 QR 코드를 스캔할 수 있다. 모바일은 CSR을 생성하고, 결제 카운터로 CSR을 송신할 수 있다. 결제 카운터는 CSR에 기초하여, 거래 내역(transaction)을 인증하고, 디바이스 인증서(certificate)를 발급할 수 있다. 디바이스 인증서(certificate)는 모든 스키 리프트 출입문(ski-lift entrance gates)에 적용될 수 있다. The user can input the'ski lift use ticket' (permission information) and period information corresponding to the'ski lift service' at a payment counter (not shown), and pay for the service. In this case, as a non-limiting example of the present disclosure, the payment counter may be implemented as a kiosk. The payment counter may generate a QR code based on the'ski lift use ticket' (permission information) and period information, and present the QR code to the user. The mobile can scan the QR code. Mobile can generate CSR and send CSR to payment counter. The payment counter may authenticate a transaction and issue a device certificate based on the CSR. The device certificate can be applied to all ski-lift entrance gates.

도 13은 본 개시의 일 실시예에 따른 타겟 디바이스의 내부 구성을 나타내는 블록도이다. 13 is a block diagram illustrating an internal configuration of a target device according to an embodiment of the present disclosure.

도 13을 참조하면, 타겟 디바이스(100)는, 통신부(110), 프로세서(120), 및 메모리(130)를 포함할 수 있다. 그러나, 이에 한정되지 않고, 도 13에 도시된 구성 요소 모두보다 많거나 적은 구성 요소에 의해 타겟 디바이스(100)가 구현될 수도 있다. Referring to FIG. 13, the target device 100 may include a communication unit 110, a processor 120, and a memory 130. However, the present invention is not limited thereto, and the target device 100 may be implemented by more or less components than all of the components illustrated in FIG. 13.

도 13에서는 타겟 디바이스(100)가 하나의 프로세서를 포함하는 것으로 도시되었으나, 실시예는 이에 제한되지 않으며, 타겟 디바이스(100)는 복수의 프로세서들을 포함할 수 있다. 이하, 서술되는 프로세서(120)의 동작 및 기능들의 적어도 일부는 복수의 프로세서들에 의해 수행될 수 있다. 도 13에 도시된 타겟 디바이스(100)는, 본 개시의 다양한 실시 예들에 따른 권한 정보 기반의 디바이스 인증서(400)를 이용하여 전자 디바이스(200)를 인증하고, 보안 레인징을 수행할 수 있으며, 도 1 내지 도 12에 대한 설명이 적용될 수 있다. 따라서, 상술한 바와 중복되는 내용은 생략한다.In FIG. 13, the target device 100 is illustrated as including one processor, but embodiments are not limited thereto, and the target device 100 may include a plurality of processors. At least some of the operations and functions of the processor 120 to be described below may be performed by a plurality of processors. The target device 100 illustrated in FIG. 13 may authenticate the electronic device 200 and perform security ranging using the device certificate 400 based on rights information according to various embodiments of the present disclosure, The description of FIGS. 1 to 12 may be applied. Therefore, the overlapping content as described above will be omitted.

통신부(110)는, 전자 디바이스(200)와 근거리 통신(short range communication)을 수행할 수 있다. 이를 위해, 통신부(110)는 근거리 통신을 위한 통신 모듈을 포함할 수 있다. 예를 들어, 통신부(110)는 Wi-Fi, Wi-Fi Direct, UWB, 블루투스, NFC 외에 적외선 통신, MST(Magnetic Secure Transmission, 마그네틱 보안 통신과 같은 다양한 근거리 통신을 수행하기 위한 통신 모듈을 포함할 수 있다. 통신 모듈은 칩셋(chipset)의 형태일 수도 있고, 또는 통신에 필요한 정보를 포함하는 스티커/바코드(e.g. NFC tag를 포함하는 스티커)등일 수도 있다.The communication unit 110 may perform short range communication with the electronic device 200. To this end, the communication unit 110 may include a communication module for short-range communication. For example, the communication unit 110 includes a communication module for performing various short-range communication such as infrared communication, magnetic secure transmission (MST), magnetic security communication in addition to Wi-Fi, Wi-Fi Direct, UWB, Bluetooth, and NFC. The communication module may be in the form of a chipset, or may be a sticker/barcode including information necessary for communication (eg, a sticker including an NFC tag).

본 개시의 일 실시예에 따르면, 메모리(130)는 애플리케이션과 같은 프로그램 및 파일 등과 같은 다양한 종류의 데이터가 설치 및 저장할 수 있다. 프로세서(120)는 메모리(130)에 저장된 데이터에 접근하여 이를 이용하거나, 또는 새로운 데이터를 메모리(130)에 저장할 수도 있다. 본 개시의 일 실시예에서, 메모리(130)에는 STS 키를 등록하고, 암호화된 제 2 STS 코드를 복호화하고, 디바이스 인증서(400)를 이용하여 전자 디바이스(200)를 인증하고, 보안 레인징을 수행하기 위한 프로그램 및 데이터가 설치 및 저장될 수 있다. 프로세서(120)는 타겟 디바이스(100)의 전체적인 동작을 제어하며, CPU, GPU 등과 같은 프로세서를 적어도 하나 이상 포함할 수 있다. 프로세서(120)는 전자 디바이스(200)의 인증를 위한 동작을 수행하도록 타겟 디바이스(100)에 포함된 다른 구성들을 제어할 수 있다. 프로세서(120)는, 권한 정보 기반의 디바이스 인증서(400)를 인증하여 전자 디바이스(200)를 인증하고, 보안 레인징을 수행하도록 타겟 디바이스(100)에 포함된 다른 구성들을 제어할 수 있다.According to an embodiment of the present disclosure, the memory 130 may install and store various types of data such as programs and files such as applications. The processor 120 may access and use data stored in the memory 130, or may store new data in the memory 130. In one embodiment of the present disclosure, the STS key is registered in the memory 130, the encrypted second STS code is decrypted, the electronic device 200 is authenticated using the device certificate 400, and security ranging is performed. Programs and data for execution can be installed and stored. The processor 120 controls the overall operation of the target device 100 and may include at least one processor such as a CPU or a GPU. The processor 120 may control other components included in the target device 100 to perform an operation for authentication of the electronic device 200. The processor 120 may authenticate the electronic device 200 by authenticating the device certificate 400 based on the authorization information, and control other components included in the target device 100 to perform security ranging.

프로세서(120)는 메모리(130) 또는 외부 디바이스(미도시)에 저장된 프로그램을 실행시키거나, 저장된 파일을 읽어오거나, 새로운 파일을 저장할 수도 있다. The processor 120 may execute a program stored in the memory 130 or an external device (not shown), read a stored file, or store a new file.

일 실시예에 따르면, 프로세서(120)는 STS 키에 의해 암호화 된 제2 STS 코드및 전자 디바이스의 공개 키에 의해 암호화된 제1 STS 코드를 포함하는 디바이스 인증서(400)를 전자 디바이스(200)로부터 수신하고, STS 키를 이용하여, 암호화된 제2 STS 코드를 복호화하여 제2 STS 코드를 획득하고, 제2 STS 코드를 이용하여 전자 디바이스(200)와 보안 레인징을 수행할 수 있다. 프로세서(120)는 디바이스 인증서(400)를 인증하고, 디바이스 인증서(400)에 기초하여 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보 및 상기 디바이스 인증서가 유효한 기간에 대한 기간 정보 중 적어도 하나를 검출할 수 있다. 또한, 프로세서(120)는 검출된 기간 정보 및 검출된 권한 정보 중 적어도 하나와 상기 전자 디바이스의 권한과 관련된 정책 정보를 매칭할 수 있다. 프로세서(120)는 UWB를 이용하여 거리를 결정하고, 결정된 거리에 기초하여 타겟 디바이스의 개폐 여부를 결정할 수 있다. 이때, 타겟 디바이스가 출입문을 제어하는 디바이스에 해당되는 경우, 프로세서(120)는 UWB를 이용하여 거리를 결정하고, 결정된 거리에 기초하여 출입문의 개폐 여부를 결정할 수 있다. 또한, 프로세서(120)가 출입문의 개폐 여부를 결정하는 경우, 결정된 거리가 기 설정된 거리 미만이고, 제1 STS 코드와 제2 STS 코드가 매칭되는 경우, 출입문을 개방할 수 있다.According to an embodiment, the processor 120 transmits the device certificate 400 including the second STS code encrypted by the STS key and the first STS code encrypted by the public key of the electronic device from the electronic device 200. After receiving and decrypting the encrypted second STS code using the STS key, a second STS code may be obtained, and security ranging with the electronic device 200 may be performed using the second STS code. The processor 120 authenticates the device certificate 400 and detects at least one of authorization information related to the device authorization authenticated through the device certificate based on the device certificate 400 and period information for a period in which the device certificate is valid. can do. In addition, the processor 120 may match at least one of the detected period information and the detected authority information with policy information related to the authority of the electronic device. The processor 120 determines the distance using UWB, It is possible to determine whether to open or close the target device based on the determined distance. In this case, if the target device corresponds to a device that controls the door, the processor 120 may determine a distance using UWB and determine whether to open or close the door based on the determined distance. In addition, when the processor 120 determines whether to open or close the door, when the determined distance is less than a preset distance and the first STS code and the second STS code match, the door may be opened.

도 14은 본 개시의 일 실시예에 따른 전자 디바이스의 내부 구성을 나타내는 블록도이다. 14 is a block diagram illustrating an internal configuration of an electronic device according to an embodiment of the present disclosure.

도 14를 참조하면, 전자 디바이스(200)는, 통신부(210), 프로세서(220), 및 메모리(230)를 포함할 수 있다. 그러나, 이에 한정되지 않고, 도 14에 도시된 구성 요소 모두보다 많거나 적은 구성 요소에 의해 전자 디바이스(200)가 구현될 수도 있다. Referring to FIG. 14, the electronic device 200 may include a communication unit 210, a processor 220, and a memory 230. However, the present invention is not limited thereto, and the electronic device 200 may be implemented by more or less than all of the components illustrated in FIG. 14.

도 14에서는 전자 디바이스(200)가 하나의 프로세서를 포함하는 것으로 도시되었으나, 실시예는 이에 제한되지 않으며, 전자 디바이스(200)는 복수의 프로세서들을 포함할 수 있다. 이하, 서술되는 프로세서(220)의 동작 및 기능들의 적어도 일부는 복수의 프로세서들에 의해 수행될 수 있다. 도 14에 도시된 전자 디바이스(200)는, 본 개시의 다양한 실시 예들에 따른 권한 정보 기반의 디바이스 인증서(400)를 이용하여 전자 디바이스(200)를 인증하고, 보안 레인징을 수행할 수 있으며, 도 1 내지 도 12에 대한 설명이 적용될 수 있다. 따라서, 상술한 바와 중복되는 내용은 생략한다.In FIG. 14, the electronic device 200 is illustrated as including one processor, but embodiments are not limited thereto, and the electronic device 200 may include a plurality of processors. At least some of the operations and functions of the processor 220 described below may be performed by a plurality of processors. The electronic device 200 illustrated in FIG. 14 may authenticate the electronic device 200 and perform security ranging using the device certificate 400 based on rights information according to various embodiments of the present disclosure, The description of FIGS. 1 to 12 may be applied. Therefore, the overlapping content as described above will be omitted.

통신부(210)는, 서버(300)와 네트워크를 통해 유무선 통신을 수행하고, 타겟 디바이스(100)와 근거리 통신을 할 수 있다. 이를 위해, 통신부(210)는 다양한 유무선 통신 방법 중 적어도 하나를 지원하는 통신 모듈을 포함할 수 있다. 예를 들어, 통신 모듈은 칩셋(chipset)의 형태일 수도 있고, 또는 통신에 필요한 정보를 포함하는 스티커/바코드(e.g. NFC tag를 포함하는 스티커)등일 수도 있다.The communication unit 210 may perform wired/wireless communication with the server 300 through a network and may perform short-range communication with the target device 100. To this end, the communication unit 210 may include a communication module supporting at least one of various wired and wireless communication methods. For example, the communication module may be in the form of a chipset, or may be a sticker/barcode (e.g. a sticker including an NFC tag) including information necessary for communication.

무선 통신은, 예를 들어, 셀룰러 통신, Wi-Fi(Wireless Fidelity), Wi-Fi Direct, 블루투스(Bluetooth), UWB(Ultra Wide Band) 또는 NFC(Near Field Communication) 중 적어도 하나를 포함할 수 있다. 유선 통신은, 예를 들어, USB 또는 HDMI(High Definition Multimedia Interface) 중 적어도 하나를 포함할 수 있다.Wireless communication, for example, may include at least one of cellular communication, wireless fidelity (Wi-Fi), Wi-Fi Direct, Bluetooth, Ultra Wide Band (UWB), or Near Field Communication (NFC). . Wired communication may include, for example, at least one of USB or High Definition Multimedia Interface (HDMI).

일 실시예에서 통신부(210)는 근거리 통신(short range communication)을 위한 통신 모듈을 포함할 수 있다. 예를 들어, 통신부(210)는 위에서 설명한 Wi-Fi, Wi-Fi Direct, 블루투스, NFC 외에 적외선 통신, MST(Magnetic Secure Transmission, 마그네틱 보안 통신과 같은 다양한 근거리 통신을 수행하기 위한 통신 모듈을 포함할 수 있다. In an embodiment, the communication unit 210 may include a communication module for short range communication. For example, the communication unit 210 may include a communication module for performing various short-range communication such as infrared communication, Magnetic Secure Transmission (MST), magnetic security communication in addition to Wi-Fi, Wi-Fi Direct, Bluetooth, and NFC described above. I can.

메모리(230)에는 애플리케이션과 같은 프로그램 및 파일 등과 같은 다양한 종류의 데이터가 설치 및 저장될 수 있다. 프로세서(220)는 메모리(230)에 저장된 데이터에 접근하여 이를 이용하거나, 또는 새로운 데이터를 메모리(230)에 저장할 수도 있다. 일 실시예에서, 메모리(230)에는 디바이스 비공개 키 및 디바이스 공개 키를 저장하고, 암호화된 제 1 STS 코드를 복호화하고, 디바이스 인증서(400)를 이용하여 전자 디바이스(200)를 인증하고, 보안 레인징을 수행하기 위한 프로그램 및 데이터가 설치 및 저장될 수 있다. 프로세서(220)는 전자 디바이스(200)의 전체적인 동작을 제어하며, CPU, GPU 등과 같은 프로세서를 적어도 하나 이상 포함할 수 있다. 프로세서(220)는 타겟 디바이스(100) 및 서버(300)가 디바이스 인증서(400)를 인증하여 전자 디바이스(200)를 인증할 수 있도록 전자 디바이스(200)에 포함된 다른 구성들을 제어할 수 있다. 프로세서(220)는, 전자 디바이스(200)에 포함된 다른 구성들을 제어할 수 있다.Various types of data such as programs and files such as applications may be installed and stored in the memory 230. The processor 220 may access and use data stored in the memory 230 or may store new data in the memory 230. In one embodiment, the device private key and the device public key are stored in the memory 230, the encrypted first STS code is decrypted, the electronic device 200 is authenticated using the device certificate 400, and the security lane Programs and data for performing gong can be installed and stored. The processor 220 controls the overall operation of the electronic device 200 and may include at least one processor such as a CPU or a GPU. The processor 220 may control other components included in the electronic device 200 so that the target device 100 and the server 300 may authenticate the device certificate 400 to authenticate the electronic device 200. The processor 220 may control other components included in the electronic device 200.

프로세서(220)는 메모리(230)에 저장된 프로그램을 실행시키거나, 저장된 파일을 읽어오거나, 새로운 파일을 저장할 수도 있다. The processor 220 may execute a program stored in the memory 230, read a stored file, or store a new file.

일 실시예에 따르면, 프로세서(220)는, 전자 디바이스(200)의 공개 키에 의해 암호화 된 제1 STS 코드 및 STS 키에 의해 암호화 된 제2 STS 코드를 포함하는 디바이스 인증서를 서버로부터 수신하고, 디바이스 인증서를 타겟 디바이스에게 전송하고, 전자 디바이스의 비공개 키를 이용하여, 암호화된 제1 STS 코드를 복호화(decrypt)하여 제1 STS 코드를 획득하고, 제1 STS 코드를 이용하여 타겟 디바이스(100)와 보안 레인징을 수행할 수 있다. According to an embodiment, the processor 220 receives, from the server, a device certificate including a first STS code encrypted by the public key of the electronic device 200 and a second STS code encrypted by the STS key, The device certificate is transmitted to the target device, and the encrypted first STS code is decrypted using the private key of the electronic device to obtain the first STS code, and the target device 100 using the first STS code. And security ranging can be performed.

일 실시예에 따르면, 프로세서(220)는 디바이스 인증서(400)를 수신하는 경우, 사용자 입력에 기초하여, 타겟 디바이스(100)에 대한 전자 디바이스의 권한 정보를 포함하는 인증서 서명 요청(CSR)을 서버(300)에게 전송하고, 인증서 서명 요청에 응답하여, 서버(300)로부터 디바이스 인증서(400)를 수신할 수 있다.또한, 프로세서(220)는 타겟 디바이스(100)와 초광대역(UWB, Ultra-wideband)을 이용하여 보안 레인징을 수행할 수 있다.According to an embodiment, when receiving the device certificate 400, the processor 220 sends a certificate signing request (CSR) including authorization information of the electronic device for the target device 100 to the server based on a user input. The device certificate 400 may be transmitted to the 300 and received from the server 300 in response to the certificate signing request. In addition, the processor 220 may include the target device 100 and the ultra-wideband (UWB, Ultra- wideband) can be used to perform security ranging.

또한, 프로세서(220)는 전자 디바이스(200)에서 실행되는 어플리케이션(Application)을 통해 서버(300)로부터 디바이스 인증서(400)를 수신할 수 있다. Also, the processor 220 may receive the device certificate 400 from the server 300 through an application executed in the electronic device 200.

프로세서(220)는 키오스크를 통해 전자 디바이스의 인증서 서명 요청(CSR) 및 전자 디바이스의 공개 키를 서버(00)에게 전송하고, 프로세서(220)는 키오스크를 통해 디바이스 인증서(400)를 서버(300)로부터 수신할 수 있다. 프로세서(220)는 보안 레인징을 위해 이용되는 통신 방식과 상이한 방법으로 전자 디바이스(200)와 키오스크 간의 통신을 수행할 수 있다..The processor 220 transmits the certificate signing request (CSR) of the electronic device and the public key of the electronic device to the server 00 through the kiosk, and the processor 220 transmits the device certificate 400 to the server 300 through the kiosk. Can be received from The processor 220 may perform communication between the electronic device 200 and the kiosk in a method different from a communication method used for security ranging.

도 15는 본 개시의 일 실시예에 따른 서버의 내부 구성을 나타내는 블록도이다. 15 is a block diagram illustrating an internal configuration of a server according to an embodiment of the present disclosure.

도 15를 참조하면, 서버(300)는, 통신부(310), 프로세서(320) 및 메모리(330)를 포함할 수 있다. 그러나, 이에 한정되지 않고, 도 15에 도시된 구성 요소 모두보다 많거나 적은 구성 요소에 의해 서버(300)가 구현될 수도 있다. Referring to FIG. 15, the server 300 may include a communication unit 310, a processor 320, and a memory 330. However, the present invention is not limited thereto, and the server 300 may be implemented by more or less components than all of the components illustrated in FIG. 15.

도 15에서는 서버(300)가 하나의 프로세서를 포함하는 것으로 도시되었으나, 실시예는 이에 제한되지 않으며, 복수의 프로세서들을 포함할 수 있다. 이하, 서술되는 프로세서(320)의 동작 및 기능들의 적어도 일부는 복수의 프로세서들에 의해 수행될 수 있다. 도 15에 도시된 서버(300)는, 본 개시의 다양한 실시 예들에 따른 권한 정보 기반의 디바이스 인증서(400)를 이용하여 전자 디바이스(200)를 인증하고, 보안 레인징을 수행할 수 있으며, 도 1 내지 도 12에 대한 설명이 적용될 수 있다. 따라서, 상술한 바와 중복되는 내용은 생략한다.In FIG. 15, the server 300 is illustrated as including one processor, but the embodiment is not limited thereto, and may include a plurality of processors. At least some of the operations and functions of the processor 320 to be described below may be performed by a plurality of processors. The server 300 illustrated in FIG. 15 may authenticate the electronic device 200 and perform security ranging using the device certificate 400 based on rights information according to various embodiments of the present disclosure. Descriptions of 1 to 12 may be applied. Therefore, the overlapping content as described above will be omitted.

통신부(310)는, 전자 디바이스(200)와 네트워크를 통해 유무선 통신을 수행할 수 있다. 이를 위해, 통신부(310)는 다양한 유무선 통신 방법 중 적어도 하나를 지원하는 통신 모듈을 포함할 수 있다. 예를 들어, 통신 모듈은 칩셋(chipset)의 형태일 수도 있고, 또는 통신에 필요한 정보를 포함하는 스티커/바코드(e.g. NFC tag를 포함하는 스티커)등일 수도 있다.The communication unit 310 may perform wired or wireless communication with the electronic device 200 through a network. To this end, the communication unit 310 may include a communication module supporting at least one of various wired and wireless communication methods. For example, the communication module may be in the form of a chipset, or may be a sticker/barcode (e.g. a sticker including an NFC tag) including information necessary for communication.

무선 통신은, 예를 들어, 셀룰러 통신, Wi-Fi(Wireless Fidelity), Wi-Fi Direct, 블루투스(Bluetooth), UWB(Ultra Wide Band) 또는 NFC(Near Field Communication) 중 적어도 하나를 포함할 수 있다. 유선 통신은, 예를 들어, USB 또는 HDMI(High Definition Multimedia Interface) 중 적어도 하나를 포함할 수 있다.Wireless communication, for example, may include at least one of cellular communication, wireless fidelity (Wi-Fi), Wi-Fi Direct, Bluetooth, Ultra Wide Band (UWB), or Near Field Communication (NFC). . Wired communication may include, for example, at least one of USB or High Definition Multimedia Interface (HDMI).

메모리(330)에는 애플리케이션과 같은 프로그램 및 파일 등과 같은 다양한 종류의 데이터가 설치 및 저장될 수 있다. 프로세서(320)는 메모리(330)에 저장된 데이터에 접근하여 이를 이용하거나, 또는 새로운 데이터를 메모리(330)에 저장할 수도 있다. 일 실시예에서, 메모리(330)에는 STS 키를 등록할 수 있고, 전자 디바이스(200)를 인증하고, 제 1 STS 코드 및 제 2 STS 코드를 생성 및 암호화하고, 디바이스 인증서(400)를 생성하기 위한 프로그램 및 데이터가 설치 및 저장될 수 있다. 프로세서(320)는 서버(300)의 전체적인 동작을 제어하며, CPU, GPU 등과 같은 프로세서를 적어도 하나 이상 포함할 수 있다. 프로세서(320)는 전자 디바이스(200)를 인증하기 위한 동작을 수행하도록 서버(300)에 포함된 다른 구성들을 제어할 수 있다. 프로세서(320)는, 전자 디바이스(200)를 인증하기 위한 동작을 수행하도록 서버(300)에 포함된 다른 구성들을 제어할 수 있다.Various types of data such as programs and files such as applications may be installed and stored in the memory 330. The processor 320 may access and use data stored in the memory 330, or may store new data in the memory 330. In one embodiment, the STS key may be registered in the memory 330, the electronic device 200 is authenticated, the first STS code and the second STS code are generated and encrypted, and the device certificate 400 is generated. The program and data for this can be installed and stored. The processor 320 controls the overall operation of the server 300 and may include at least one processor such as a CPU and a GPU. The processor 320 may control other components included in the server 300 to perform an operation for authenticating the electronic device 200. The processor 320 may control other components included in the server 300 to perform an operation for authenticating the electronic device 200.

프로세서(320)는 메모리(330)에 저장된 프로그램을 실행시키거나, 저장된 파일을 읽어오거나, 새로운 파일을 저장할 수도 있다. The processor 320 may execute a program stored in the memory 330, read a stored file, or store a new file.

일 실시예에 따르면, 프로세서(320)는, 타겟 디바이스에 대한 전자 디바이스의 권한 정보를 포함하는 인증서 서명 요청(CSR)을 전자 디바이스(200)로부터 수신하고, 인증서 서명 요청 및 전자 디바이스의 권한과 관련된 정책 정보를 확인하고, 확인 결과에 기초하여, 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS 코드 및 STS 키에 의해 암호화 된 제2 STS 코드를 포함하는 디바이스 인증서를 생성하고, 디바이스 인증서(400)를 전자 디바이스(200)에게 전송할 수 있다.According to an embodiment, the processor 320 receives a certificate signing request (CSR) including authorization information of the electronic device for the target device from the electronic device 200, and is associated with a certificate signing request and authorization of the electronic device. Confirms the policy information, and generates a device certificate including the first STS code encrypted by the public key of the electronic device and the second STS code encrypted by the STS key, based on the verification result, and the device certificate 400 May be transmitted to the electronic device 200.

한편, 상술한 실시예는, 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터에 의해 판독 가능한 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 또한, 상술한 실시예에서 사용된 데이터의 구조는 컴퓨터 판독 가능 매체에 여러 수단을 통하여 기록될 수 있다. 또한, 상술한 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체를 포함하는 컴퓨터 프로그램 제품의 형태로 구현될 수 있다. 예를 들어, 소프트웨어 모듈 또는 알고리즘으로 구현되는 방법들은 컴퓨터가 읽고 실행할 수 있는 코드들 또는 프로그램 명령들로서 컴퓨터가 읽을 수 있는 기록 매체에 저장될 수 있다. Meanwhile, the above-described embodiment can be written as a program that can be executed on a computer, and can be implemented in a general-purpose digital computer that operates the program using a medium readable by a computer. In addition, the structure of the data used in the above-described embodiment may be recorded on a computer-readable medium through various means. In addition, the above-described embodiments may be implemented in the form of a computer program product including a recording medium including instructions executable by a computer, such as a program module executed by a computer. For example, methods implemented as software modules or algorithms may be stored in a computer-readable recording medium as codes or program instructions that can be read and executed by a computer.

컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 기록 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 포함할 수 있다. 컴퓨터 판독 가능 매체는 마그네틱 저장매체, 예를 들면, 롬, 플로피 디스크, 하드 디스크 등을 포함하고, 광학적 판독 매체, 예를 들면, 시디롬, DVD 등과 같은 저장 매체를 포함할 수 있으나, 이에 제한되지 않는다. 또한, 컴퓨터 판독 가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함할 수 있다.The computer-readable medium may be any recording medium that can be accessed by a computer, and may include volatile and nonvolatile media, and removable and non-removable media. The computer-readable medium includes a magnetic storage medium such as a ROM, a floppy disk, a hard disk, and the like, and may include an optical reading medium such as a CD-ROM, a DVD, etc., but is not limited thereto. . In addition, computer-readable media may include computer storage media and communication media.

또한, 컴퓨터가 읽을 수 있는 복수의 기록 매체가 네트워크로 연결된 컴퓨터 시스템들에 분산되어 있을 수 있으며, 분산된 기록 매체들에 저장된 데이터, 예를 들면 프로그램 명령어 및 코드가 적어도 하나의 컴퓨터에 의해 실행될 수 있다.In addition, a plurality of computer-readable recording media may be distributed over network-connected computer systems, and data stored in the distributed recording media, for example, program instructions and codes, may be executed by at least one computer. have.

이상과 첨부된 도면을 참조하여 본 개시의 실시예를 설명하였지만, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자는 본 개시가 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although the embodiments of the present disclosure have been described with reference to the above and the accompanying drawings, the present disclosure may be implemented in other specific forms without changing the technical spirit or essential features to those of ordinary skill in the art. You can understand that there is. Therefore, it should be understood that the embodiments described above are illustrative and non-limiting in all respects.

Claims (20)

전자 디바이스의 동작 방법에 있어서,
상기 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS(Scrambled Timestamp Sequence) 코드 및 STS 키(STS Key)에 의해 암호화 된 제2 STS 코드를 포함하는 디바이스 인증서(Device certificate)를 서버로부터 수신하는 단계;
상기 디바이스 인증서를 타겟 디바이스에게 전송하는 단계;
상기 전자 디바이스의 비공개 키를 이용하여, 상기 암호화된 제1 STS 코드를 복호화(decrypt)하여 제1 STS 코드를 획득하는 단계; 및
상기 제1 STS 코드를 이용하여 상기 타겟 디바이스와 보안 레인징을 수행하는 단계를 포함하는, 방법.
In the method of operating an electronic device,
Receiving from a server a device certificate including a first STS (Scrambled Timestamp Sequence) code encrypted by the public key of the electronic device and a second STS code encrypted by the STS Key;
Transmitting the device certificate to a target device;
Decrypting the encrypted first STS code using the private key of the electronic device to obtain a first STS code; And
And performing security ranging with the target device by using the first STS code.
 제 1항에 있어서,
상기 디바이스 인증서는 상기 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보 및 상기 디바이스 인증서가 유효한 기간에 대한 기간 정보 중 적어도 하나를 더 포함하는, 방법.
The method of claim 1,
The device certificate further includes at least one of authorization information related to a device authorization authenticated through the device certificate and period information for a period in which the device certificate is valid.
 제 1항에 있어서
상기 디바이스 인증서를 수신하는 단계는,
사용자 입력에 기초하여, 상기 타겟 디바이스에 대한 상기 전자 디바이스의 권한 정보를 포함하는 인증서 서명 요청(CSR, Certificate Signing Request)을 상기 서버에게 전송하는 단계; 및
상기 인증서 서명 요청에 응답하여, 상기 서버로부터 상기 디바이스 인증서를 수신하는 단계를 포함하는, 방법.
The method of claim 1
Receiving the device certificate,
Transmitting a certificate signing request (CSR) including authorization information of the electronic device to the target device to the server based on a user input; And
Receiving the device certificate from the server in response to the certificate signing request.
 제 1항에 있어서,
제1 STS 코드와 제2 STS 코드는 동일한 STS 코드인, 방법.
The method of claim 1,
The first STS code and the second STS code are the same STS code.
 제 1항에 있어서
상기 타겟 디바이스와 보안 레인징을 수행하는 단계는 초광대역(UWB, Ultra-wideband)을 이용하여 수행되는, 방법.
The method of claim 1
The step of performing security ranging with the target device is performed using an ultra-wideband (UWB).
 제 1항에 있어서
상기 전자 디바이스에서 실행되는 어플리케이션(Application)을 통해 상기 서버로부터 상기 디바이스 인증서를 수신하는, 방법.
The method of claim 1
A method of receiving the device certificate from the server through an application running on the electronic device.
 제 1항에 있어서
상기 전자 디바이스가 키오스크를 통해 상기 전자 디바이스의 인증서 서명 요청(CSR) 및 상기 전자 디바이스의 공개 키를 상기 서버에게 전송하고,
상기 전자 디바이스는 상기 키오스크를 통해 상기 디바이스 인증서를 상기 서버로부터 수신하는, 방법.
The method of claim 1
The electronic device transmits a certificate signing request (CSR) of the electronic device and a public key of the electronic device to the server through a kiosk,
The electronic device receives the device certificate from the server via the kiosk.
 제 7항에 있어서
상기 전자 디바이스와 상기 키오스크 간의 통신은 상기 보안 레인징을 위해 이용되는 통신 방식과 상이한, 방법.
According to claim 7
Wherein the communication between the electronic device and the kiosk is different from the communication scheme used for the security ranging.
 제 1항에 있어서,
상기 디바이스 인증서는,
사용자의 결제 정보, 인증서 서명 요청(CSR)에 대한 정보 및 상기 전자 디바이스의 권한과 관련된 정책 정보 중 적어도 하나의 정보에 기초한 인증 과정을 통해 상기 서버에서 서명된, 방법.
The method of claim 1,
The device certificate,
The method, wherein the server is signed through an authentication process based on at least one of information on a user's payment information, information on a certificate signing request (CSR), and policy information related to authority of the electronic device.
 타겟 디바이스의 동작 방법에 있어서,
STS 키에 의해 암호화 된 제2 STS(Scrambled Timestamp Sequence) 코드 및 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS 코드를 포함하는 디바이스 인증서를 상기 전자 디바이스로부터 수신하는 단계;
상기 STS 키를 이용하여, 상기 암호화된 제2 STS 코드를 복호화(decrypt)하여 제2 STS 코드를 획득하는 단계; 및
상기 제2 STS 코드를 이용하여 상기 전자 디바이스와 보안 레인징을 수행하는 단계를 포함하는, 방법.
In the operating method of the target device,
Receiving from the electronic device a device certificate including a second STS (Scrambled Timestamp Sequence) code encrypted by an STS key and a first STS code encrypted by a public key of the electronic device;
Decrypting the encrypted second STS code using the STS key to obtain a second STS code; And
And performing security ranging with the electronic device using the second STS code.
 제 10항에 있어서,
상기 디바이스 인증서는 상기 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보 및 상기 디바이스 인증서가 유효한 기간에 대한 기간 정보 중 적어도 하나를 더 포함하는, 방법.
The method of claim 10,
The device certificate further includes at least one of authorization information related to a device authorization authenticated through the device certificate and period information for a period in which the device certificate is valid.
 제 10항에 있어서,
상기 타겟 디바이스가 상기 디바이스 인증서를 인증하고,
상기 디바이스 인증서에 기초하여 상기 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보 및 상기 디바이스 인증서가 유효한 기간에 대한 기간 정보 중 적어도 하나를 검출하는, 방법.
The method of claim 10,
The target device authenticates the device certificate,
And detecting at least one of authorization information related to a device authorization authenticated through the device certificate and period information for a period in which the device certificate is valid based on the device certificate.
 제 12항에 있어서,
상기 검출된 기간 정보 및 상기 검출된 권한 정보 중 적어도 하나와 상기 전자 디바이스의 권한과 관련된 정책 정보를 매칭하는, 방법.
The method of claim 12,
And matching policy information related to the authority of the electronic device with at least one of the detected period information and the detected authority information.
 제 10항에 있어서,
제1 STS 코드와 제2 STS 코드는 동일한 STS 코드인, 방법.
The method of claim 10,
The first STS code and the second STS code are the same STS code.
 제 10항에 있어서,
상기 타겟 디바이스는, 출입문을 제어하는 디바이스이고,
상기 보안 레인징을 수행하는 단계는, UWB를 이용하여 거리를 결정하는 단계; 및
상기 결정된 거리에 기초하여 상기 출입문의 개폐 여부를 결정하는 단계를 포함하는, 방법.
The method of claim 10,
The target device is a device that controls an entrance door,
The performing of the security ranging may include determining a distance using UWB; And
And determining whether to open or close the door based on the determined distance.
 제 15항에 있어서,
상기 출입문의 개폐 여부를 결정하는 단계는,
상기 결정된 거리가 기 설정된 거리 미만이고,
상기 제1 STS 코드와 상기 제2 STS 코드가 매칭되는 경우, 상기 출입문을 개방(open)하는 것으로 결정하는 단계를 포함하는, 방법.
The method of claim 15,
The step of determining whether to open or close the entrance door,
The determined distance is less than a preset distance,
If the first STS code and the second STS code match, determining to open the door.
 서버의 동작 방법에 있어서,
타겟 디바이스에 대한 전자 디바이스의 권한 정보를 포함하는 인증서 서명 요청(CSR)을 상기 전자 디바이스로부터 수신하는 단계;
상기 인증서 서명 요청 및 상기 전자 디바이스의 권한과 관련된 정책 정보를 확인하는 단계;
확인 결과에 기초하여, 상기 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS 코드 및 STS 키에 의해 암호화 된 제2 STS 코드를 포함하는 디바이스 인증서를 생성하는 단계; 및
상기 디바이스 인증서를 상기 전자 디바이스에게 전송하는 단계를 포함하는, 방법.
In the server operation method,
Receiving, from the electronic device, a certificate signing request (CSR) including authorization information of the electronic device for the target device;
Checking the certificate signing request and policy information related to the authority of the electronic device;
Generating a device certificate including a first STS code encrypted by the public key of the electronic device and a second STS code encrypted by the STS key based on the verification result; And
Transmitting the device certificate to the electronic device.
 제 17항에 있어서,
상기 디바이스 인증서는 상기 디바이스 인증서를 통해 인증되는 디바이스 권한과 관련된 권한 정보 및 상기 디바이스 인증서가 유효한 기간에 대한 기간 정보 중 적어도 하나를 더 포함하는, 방법.
The method of claim 17,
The device certificate further includes at least one of authorization information related to a device authorization authenticated through the device certificate and period information for a period in which the device certificate is valid.
 전자 디바이스에 있어서,
서버 및 타겟 디바이스와 통신하는 통신부;
적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및
상기 적어도 하나 이상의 인스트럭션을 실행함으로써 상기 전자 디바이스를 제어하는 적어도 하나 이상의 프로세서를 포함하며,
상기 적어도 하나 이상의 프로세서는,
상기 전자 디바이스의 공개 키에 의해 암호화 된 제1 STS 코드 및 STS 키에 의해 암호화 된 제2 STS 코드를 포함하는 디바이스 인증서(Device certificate)를 서버로부터 수신하고,
상기 디바이스 인증서를 상기 타겟 디바이스에게 전송하고,
상기 전자 디바이스의 비공개 키를 이용하여, 상기 암호화된 제1 STS 코드를 복호화하여 제1 STS 코드를 획득하고,
상기 제1 STS 코드를 이용하여 상기 타겟 디바이스와 보안 레인징을 수행하는, 전자 디바이스.
In the electronic device,
A communication unit communicating with the server and the target device;
A memory for storing at least one or more instructions; And
At least one processor for controlling the electronic device by executing the at least one or more instructions,
The at least one or more processors,
A device certificate including a first STS code encrypted by the public key of the electronic device and a second STS code encrypted by the STS key is received from the server,
Transmit the device certificate to the target device,
Decrypting the encrypted first STS code using the private key of the electronic device to obtain a first STS code,
An electronic device that performs security ranging with the target device by using the first STS code.
 타겟 디바이스에 있어서,
전자 디바이스와 통신하는 통신부;
적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및
상기 적어도 하나 이상의 인스트럭션을 실행함으로써 상기 타겟 디바이스를 제어하는 적어도 하나 이상의 프로세서를 포함하며,
상기 적어도 하나 이상의 프로세서는,
STS 키에 의해 암호화 된 제2 STS 코드 및 전자 디바이스의 공개 키에 의해 암호화된 제1 STS 코드를 포함하는 디바이스 인증서를 상기 전자 디바이스로부터 수신하고,
상기 STS 키를 이용하여, 상기 암호화된 제2 STS 코드를 복호화하여 제2 STS 코드를 획득하고,
상기 제2 STS 코드를 이용하여 상기 전자 디바이스와 보안 레인징을 수행하는, 타겟 디바이스.In the target device,
A communication unit that communicates with an electronic device;
A memory for storing at least one or more instructions; And
At least one processor for controlling the target device by executing the at least one or more instructions,
The at least one or more processors,
A device certificate including a second STS code encrypted by the STS key and a first STS code encrypted by the public key of the electronic device is received from the electronic device,
Decrypting the encrypted second STS code using the STS key to obtain a second STS code,
A target device for performing security ranging with the electronic device by using the second STS code.
KR1020190134102A 2019-10-25 2019-10-25 Method and apparatus for performing access control using role based certification KR20210049603A (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020190134102A KR20210049603A (en) 2019-10-25 2019-10-25 Method and apparatus for performing access control using role based certification
PCT/KR2020/014407 WO2021080316A1 (en) 2019-10-25 2020-10-21 Method and device for performing access control by using authentication certificate based on authority information
US17/770,481 US12022009B2 (en) 2019-10-25 2020-10-21 Method and device for performing access control by using authentication certificate based on authority information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190134102A KR20210049603A (en) 2019-10-25 2019-10-25 Method and apparatus for performing access control using role based certification

Publications (1)

Publication Number Publication Date
KR20210049603A true KR20210049603A (en) 2021-05-06

Family

ID=75619917

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190134102A KR20210049603A (en) 2019-10-25 2019-10-25 Method and apparatus for performing access control using role based certification

Country Status (3)

Country Link
US (1) US12022009B2 (en)
KR (1) KR20210049603A (en)
WO (1) WO2021080316A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102477898B1 (en) * 2022-03-22 2022-12-15 주식회사 지오플랜 Method and system for dynamic security ranging by using session keys from the server
KR102589490B1 (en) * 2022-12-15 2023-10-16 주식회사 지오플랜 Method And System for Controlling by Using BLE and UWB Ranging

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023192744A1 (en) * 2022-03-28 2023-10-05 Qualcomm Incorporated Secure ranging sequence generation

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7706778B2 (en) 2005-04-05 2010-04-27 Assa Abloy Ab System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone
US20070249288A1 (en) 2006-04-14 2007-10-25 Kamran Moallemi Distance-based security
US8837724B2 (en) 2007-03-27 2014-09-16 Qualcomm Incorporated Synchronization test for device authentication
US8392699B2 (en) * 2009-10-31 2013-03-05 Cummings Engineering Consultants, Inc. Secure communication system for mobile devices
AT512289B1 (en) * 2012-01-31 2013-07-15 Finalogic Business Technologies Gmbh CRYPTOGRAPHIC AUTHENTICATION AND IDENTIFICATION METHOD FOR MOBILE TELEPHONE AND COMMUNICATION DEVICES WITH REAL-TIME ENCRYPTION DURING THE ACTION PERIOD
US9232456B2 (en) * 2012-06-29 2016-01-05 Futurewei Technologies, Inc. Systems and methods for packet transmission with compressed address
US8949596B2 (en) * 2012-07-10 2015-02-03 Verizon Patent And Licensing Inc. Encryption-based session establishment
US9686244B2 (en) * 2014-03-21 2017-06-20 Venafi, Inc. Rule-based validity of cryptographic key material
US9652631B2 (en) * 2014-05-05 2017-05-16 Microsoft Technology Licensing, Llc Secure transport of encrypted virtual machines with continuous owner access
US11399019B2 (en) * 2014-10-24 2022-07-26 Netflix, Inc. Failure recovery mechanism to re-establish secured communications
CN105763521B (en) * 2014-12-18 2019-09-20 阿里巴巴集团控股有限公司 A kind of device authentication method and device
AU2017250352B2 (en) 2016-04-14 2020-04-16 Apple Inc. Methods and architectures for secure ranging
KR102589503B1 (en) 2017-01-02 2023-10-16 삼성전자 주식회사 Method and electric device for configuring a sharing target device sharing data usage
US10516543B2 (en) * 2017-05-08 2019-12-24 Amazon Technologies, Inc. Communication protocol using implicit certificates
US10511591B2 (en) * 2017-05-08 2019-12-17 Amazon Technologies, Inc. Generation of shared secrets using pairwise implicit certificates
US10521581B1 (en) * 2017-07-14 2019-12-31 EMC IP Holding Company LLC Web client authentication and authorization
US11290286B2 (en) * 2017-09-27 2022-03-29 Cable Television Laboratories, Inc. Provisioning systems and methods
US11126699B2 (en) * 2018-02-07 2021-09-21 Nec Corporation Replica trusted execution environment: enabling seamless replication of trusted execution environment (TEE)-based enclaves in the cloud
US10721064B2 (en) * 2018-05-30 2020-07-21 Nxp B.V. Modular key exchange for key agreement and optional authentication
US10965449B2 (en) * 2018-05-31 2021-03-30 Microsoft Technology Licensing, Llc Autonomous secrets management for a key distribution service
US10559149B1 (en) * 2018-10-08 2020-02-11 Nxp B.V. Dynamic anchor pre-selection for ranging applications
US20210014674A1 (en) * 2019-07-11 2021-01-14 Slim Hmi Technology Secure interaction system and communication display device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102477898B1 (en) * 2022-03-22 2022-12-15 주식회사 지오플랜 Method and system for dynamic security ranging by using session keys from the server
WO2023182549A1 (en) * 2022-03-22 2023-09-28 주식회사 지오플랜 Method and system for dynamic secure ranging using session key from server
KR102589490B1 (en) * 2022-12-15 2023-10-16 주식회사 지오플랜 Method And System for Controlling by Using BLE and UWB Ranging
WO2024128392A1 (en) * 2022-12-15 2024-06-20 주식회사 지오플랜 Control method and system using ble and uwb ranging

Also Published As

Publication number Publication date
US20220400015A1 (en) 2022-12-15
WO2021080316A1 (en) 2021-04-29
US12022009B2 (en) 2024-06-25

Similar Documents

Publication Publication Date Title
WO2017197974A1 (en) Biometric characteristic-based security authentication method, device and electronic equipment
US12022009B2 (en) Method and device for performing access control by using authentication certificate based on authority information
JP5745690B2 (en) Dynamic platform reconfiguration with multi-tenant service providers
RU2011153984A (en) TRUSTED AUTHORITY ADMINISTRATOR (TIM)
KR20180026508A (en) A security verification method based on biometric characteristics, a client terminal, and a server
US9374360B2 (en) System and method for single-sign-on in virtual desktop infrastructure environment
KR100703805B1 (en) Method and apparatus using drm contents with roaming in device of external domain
KR102511778B1 (en) Electronic device and method for performing digital key provision
KR101609274B1 (en) Smart card, smart authentication server and smart card authentication method
CN111431840B (en) Security processing method and device, computer equipment and readable storage medium
KR101388930B1 (en) Divided signature based user authentication apparatus and method
KR101570773B1 (en) Cloud authentication method for securing mobile service
KR101404989B1 (en) Financial transaction information certification Method for responding MITB attack by Two-Channel authentication, and Financial server thereof
KR101836211B1 (en) Electronic device authentication manager device
KR101388935B1 (en) Two channel based user authentication apparatus and method
KR101856530B1 (en) Encryption system providing user cognition-based encryption protocol and method for processing on-line settlement, security apparatus and transaction approval server using thereof
US8327148B2 (en) Mobile system, service system, and key authentication method to manage key in local wireless communication
CN111224965A (en) Information interaction method and device
KR101326243B1 (en) User authenticaiton method
KR20200089562A (en) Method and apparatus for managing a shared digital key
KR101148568B1 (en) Apparatus and system providing web service using one?time security token
KR101208617B1 (en) Apparatus for sharing single certificate of multi application and method thereof
KR20150005789A (en) Method for Authenticating by using Certificate
KR101708880B1 (en) Integrated lon-in apparatus and integrated log-in method
KR101232860B1 (en) Hybrid authentication system and method thereof

Legal Events

Date Code Title Description
A201 Request for examination